Une faille de sécurité majeure a été découverte dans les dernières clés API de Google, qui pourrait exposer les informations personnelles de millions d’utilisateurs d’Android. Un rapport de la société de cybersécurité CloudSEK montre que les clés API matérielles trouvées dans le code source de plusieurs logiciels haut de gamme pourraient permettre à des acteurs malveillants de communiquer secrètement avec le chatbot Gemini AI. Selon les résultats, la faille affecte au moins 22 applications totalisant plus de 500 millions d’installations.
La vulnérabilité provient de l’architecture de Google, considérée comme sûre pour l’intégration avec les bases de code Android. Cependant, l’étude a révélé que ces clés bénéficiaient d’un « accès public » une fois installées, permettant aux pirates informatiques de visualiser les images, l’audio et le texte partagés par les utilisateurs via l’API Files. L’Inde fait face à une opération cyberattaque : plus de 3 100 semaines de cyberattaques alors que l’automatisation basée sur l’IA transforme le paysage des menaces numériques, selon un rapport.
Exposition accrue et programmes affectifs
BeVigil, le moteur de sécurité des applications mobiles de CloudSEK, a analysé les 10 000 principales applications Android pour déterminer le nombre de fuites. Les chercheurs ont trouvé 32 clés API Google codées en dur dans le code source. Le codage en dur (la pratique consistant à insérer des données directement dans le code) permet aux attaquants d’obtenir plus facilement des informations sensibles grâce à l’ingénierie inverse.
Parmi les autres identifiés dans le rapport figurent Google Pay for Business, OYO Hotel, The Hindu, WAStickersApps et ISS Live Now. Le rapport montre que de nombreux développeurs ont peut-être suivi la documentation de Google pour installer des services comme Firebase ou Google Maps, ce qui a abouti aux clés API de “Alza…”.
Menaces pour la vie privée des utilisateurs et contexte de l’IA
Le plus grand risque auquel les utilisateurs sont confrontés est ce qu’ils contribuent à l’IA Gemini de Google. Étant donné que les clés compromises vous donnent accès à l’API Files, un pirate informatique peut lire, copier ou extraire tous les fichiers partagés par le chatbot. De plus, le « contexte de l’IA mis en cache » – les informations que l’IA utilise pour poursuivre les conversations – est également vulnérable à l’interception.
Au-delà de la vie privée, le bug constitue une menace financière pour les industriels et les entreprises. L’intégration de l’API Gemini étant un service payant, toute utilisation non autorisée par des pirates informatiques peut entraîner des coûts importants pour les entreprises concernées. Cela fait suite à un modèle similaire découvert par Truffle Security plus tôt cette année impliquant les services Google Cloud.
Responsabilité limitée pour les développeurs
En réponse à ces conclusions, les experts en sécurité exhortent les développeurs à revoir leurs clés API dans Google Cloud Platform (GCP). CloudSEK a encouragé les entreprises à éviter d’intégrer des clés API directement dans le code source de l’application, ce qui signifie utiliser des serveurs back-end sécurisés ou des outils de gestion de clés. Raquette de cyberfraude démantelée à Delhi : 2 personnes arrêtées pour escroquerie précipitée à l’investissement en ligne de 74 Lakh INR promettant d’énormes rendements.
Bien que Google n’ait pas publié de correctif permanent pour l’architecture, le rapport constitue un avertissement aux entreprises concernant l’intégration rapide des outils d’IA. Il est conseillé aux développeurs de vérifier si leurs clés API actuelles contiennent des autorisations inutiles susceptibles d’accorder plus d’accès que nécessaire pour leur application.
(L’article ci-dessus est paru pour la première fois sur NEWLY le 10 avril 2026 à 08h36 IST. Pour plus d’informations sur la politique, le monde, les sports, le divertissement et le style de vie, visitez notre site Web Latestly.com).
