Faille Google Gemini : comment une simple notification a pu piéger l’assistant
Dans un article publié le 3 juin 2026, des chercheurs de SafeBreach ont démontré que de simples notifications pouvaient suffire à manipuler Google Gemini. En exploitant le résumé vocal des messages, ils ont réussi à injecter des instructions invisibles, capables de tromper l’utilisateur à son insu.
Cette découverte représente une nouvelle variante d’un problème déjà connu, comme l’a montré une démonstration à la conférence Black Hat 2025, où une invitation Google Calendar piégée pouvait inciter Gemini à exécuter des actions malveillantes, y compris le contrôle d’objets connectés. Les chercheurs de SafeBreach se sont concentrés cette fois-ci sur un autre point d’entrée : les notifications de messagerie.
Dans une étude publiée le 3 juin 2026, les équipes de SafeBreach ont montré que l’assistant vocal de Gemini pouvait être manipulé lorsqu’il lit ou résume des messages reçus via des applications comme WhatsApp. Le problème ne provient pas d’un bug classique, mais d’une faiblesse structurelle : l’IA ne fait pas toujours la distinction entre une instruction légitime et un contenu malveillant intégré dans un message.
Le risque demeure l’injection de prompt indirecte, une technique qui consiste à glisser des instructions cachées dans des contenus apparemment anodins pour influencer le comportement de l’assistant.
SafeBreach a également illustré que ces techniques peuvent mener à des actions non autorisées, comme l’usurpation de contacts, où un message est attribué à un contact différent de l’expéditeur réel.
L’attaque repose sur la fonction « Utilitaires » de Gemini, capable de lire ou de résumer à voix haute les notifications Android. Un attaquant peut envoyer un message via WhatsApp ou d’autres plateformes contenant des instructions cachées. Lorsque l’utilisateur demande un résumé, l’assistant pourrait alors interpréter le message de manière erronée et présenter un contenu frauduleux comme légitime.
Les chercheurs ont utilisé une technique qu’ils appellent « Alignement contextuel trompeur », qui exploite les différences d’interprétation entre ce que voit l’utilisateur et ce que traite le modèle lors de l’analyse des notifications. Cela signifie qu’un message peut contenir des éléments invisibles ou non vocalisés, permettant à Gemini de recevoir un contexte plus large incluant des instructions implicites.
Informée de cette découverte, Google a déployé des mises à jour de ses systèmes de détection pour bloquer cette technique. Cependant, aucune exploitation réelle de cette attaque n’a été observée jusqu’à présent. Les chercheurs soulignent que cette situation n’est pas une vulnérabilité classique pouvant être corrigée définitivement, car les attaques par injection de prompt exploitent le fonctionnement même des modèles de langage.
SafeBreach insiste sur le fait que toute entrée externe, y compris une notification, doit être considérée comme non fiable. Le défi pour les éditeurs est de renforcer les garde-fous sans pouvoir garantir de bloquer toutes les variantes futures.
Source : SafeBreach.
