Les clés d’API Google Cloud utilisées pour intégrer de simples cartes via Google Maps ou des vidéos YouTube sur un site web sont inoffensives, et elles traînent souvent en clair dans le code source des sites web. Pourtant, l’arrivée de Gemini a ouvert une brèche : ces mêmes clés d’API pouvaient donner accès à des données privées de l’utilisateur. Voici ce que l’on sait sur ce problème de sécurité désormais corrigé par Google.

De Google Maps à Gemini via une clé d’API

Une clé d’API conçue pour un service public côté client comme l’affichage d’une carte Google Maps sur un site web ou le suivi de métriques Firebase n’a pas vocation à être secrète. C’est pour cette raison que ces clés d’API sont régulièrement présentes dans le code source de pages web, car elles ne représentent aucun risque.

Cependant, les chercheurs en sécurité de TruffleSecurity ont identifié un effet de bord lié à l’utilisation de ces clés d’API. Lorsque Google a introduit Gemini, de nombreux développeurs ont activé l’API LLM (Generative Language API) sur leurs projets Google Cloud existants. Le problème, c’est que l’activation de cette fonctionnalité, permettant de solliciter Gemini via une clé d’API, a également affecté les clés d’API publiques déjà associées à des projets (y compris une clé créée il y a plusieurs années).

Ainsi, ces clés d’API publiques sont devenues des identifiants valides pour interagir avec l’assistant IA de Google : Gemini. Cela veut donc dire que n’importe quel attaquant peut faire des requêtes vers l’API Gemini en se faisant passer pour l’organisation / la personne associée à la clé d’API, ce qui pose deux problèmes :

• Les appels API vers Gemini sont payants, donc l’attaquant pouvait faire gonfler très rapidement la facture Google Cloud de la victime.
• Les appels API permettent d’accéder à des données privées liées aux précédents échanges avec l’API de Gemini (via les endpoints et ).

“Selon le modèle et la fenêtre de contexte, un acteur de la menace maximisant les appels d’API pourrait générer des milliers de dollars de frais par jour sur un seul compte victime.”, avertit Truffle Security dans son rapport.

En scannant le jeu de données Common Crawl de novembre 2025, TruffleSecurity a déniché 2 863 clés d’API Google actives et publiquement exposées. Ces clés d’API correspondent à des institutions financières, des cabinets de recrutement, des entreprises dans le domaine de la sécurité, et même… Google lui-même !

On peut imaginer qu’il y ait en réalité des millions de clés d’API exposées : il est très fréquent de voir des cartes Google Maps sur des sites vitrines d’entreprises.

La réaction de Google

Ce problème de sécurité a été signalé à Google le 21 novembre 2025, et il a été ensuite classé par Google comme une vulnérabilité permettant une élévation de privilèges (single-service privilege escalation).

Surtout, Google a fait le nécessaire pour protéger les clés d’API et éviter qu’elles soient détournées de cette façon :

• Google a fait en sorte de recenser et de bloquer les clés d’API “legacy” qui tentent d’accéder à l’API de Gemini,
• Les nouvelles clés générées via AI Studio seront limitées par défaut au seul périmètre de Gemini.

Cet incident de sécurité illustre bien l’importance de garder le contrôle sur les clés d’API, notamment le fait d’appliquer le principe de moindre privilège en limitant les points d’accès autorisés via une clé d’API.

Qu’en pensez-vous ?

Source