Google a décidé de ne pas corriger une nouvelle attaque de contrebande ASCII dans Gemini qui pourrait être utilisée pour inciter l’assistant IA à fournir aux utilisateurs de fausses informations, à modifier le comportement du modèle et à empoisonner silencieusement ses données.
La contrebande ASCII est une attaque dans laquelle les caractères spéciaux des balises Unicode block sont utilisés pour introduire des charges utiles invisibles pour les utilisateurs mais qui peuvent toujours être détectées et traitées par des modèles grand langage (LLM).
C’est similaire à d’autres attaques que les chercheurs ont présentées récemment contre Google Gemini, qui exploitent toutes un écart entre ce que les utilisateurs voient et ce que les machines lisent, comme effectuer une manipulation CSS ou exploiter les limitations de l’interface graphique.
Bien que la susceptibilité des LLM aux attaques de contrebande ASCII ne soit pas une nouvelle découverte, car plusieurs chercheurs ont exploré cette possibilité depuis l’avènement des outils d’IA générative, le niveau de risque est maintenant différent [1, 2, 3, 4].
Auparavant, les chatbots ne pouvaient être manipulés de manière malveillante par de telles attaques que si l’utilisateur était amené à coller des invites spécialement conçues. Avec la montée en puissance d’outils d’IA agentiques comme Gemini, qui ont un accès généralisé aux données sensibles des utilisateurs et peuvent effectuer des tâches de manière autonome, la menace est plus importante.
Viktor Markopoulos, chercheur en sécurité chez FireTail cybersecurity company, a testé la contrebande ASCII contre plusieurs outils d’IA largement utilisés et a constaté que Gemini (invitations au calendrier ou e-mail), DeepSeek (invites) et Grok (messages X), sont vulnérables à l’attaque.
Claude, ChatGPT et Microsoft CoPilot se sont révélés sûrs contre la contrebande d’ASCII, mettant en œuvre une certaine forme de désinfection des entrées, a découvert FireTail.
En ce qui concerne Gemini, son intégration avec Google Workspace présente un risque élevé, car les attaquants pourraient utiliser la contrebande ASCII pour intégrer du texte masqué dans des invitations de calendrier ou des e-mails.
Markopoulos a découvert qu’il était possible de masquer les instructions sur le titre de l’invitation au calendrier, d’écraser les détails de l’organisateur (usurpation d’identité) et de passer en contrebande des descriptions ou des liens de réunion cachés.
En ce qui concerne le risque lié aux e-mails, le chercheur déclare que “pour les utilisateurs avec LLM connectés à leur boîte de réception, un simple e-mail avec des commandes cachées peut demander au LLM de rechercher dans la boîte de réception des éléments sensibles ou d’envoyer des coordonnées, transformant une tentative de phishing standard en un outil d’extraction de données autonome.”
Les LLM chargés de parcourir les sites Web peuvent également tomber sur des charges utiles cachées dans les descriptions de produits et les alimenter avec des URL malveillantes à transmettre aux utilisateurs.
Le chercheur a signalé les résultats à Google le 18 septembre, mais le géant de la technologie a rejeté le problème comme n’étant pas un bogue de sécurité et ne pouvant être exploité que dans le contexte d’attaques d’ingénierie sociale.
Malgré cela, Markopoulos a montré que l’attaque peut inciter Gemini à fournir de fausses informations aux utilisateurs. Dans un exemple, le chercheur a transmis une instruction invisible que Gemini a traitée pour présenter un site potentiellement malveillant comme l’endroit idéal pour obtenir un téléphone de bonne qualité avec une remise.
D’autres entreprises technologiques, cependant, ont une perspective différente sur ce type de problèmes. Par exemple, Amazon a publié des conseils de sécurité détaillés sur le sujet de la contrebande de caractères Unicode.
Breachtrace a contacté Google pour plus de précisions sur le bogue, mais nous n’avons pas encore reçu de réponse.