Invitation Is All You Need : une simple invitation Google Calendar peut devenir une arme redoutable contre Gemini, l’assistant IA de Google — bienvenue dans l’ère du promptware, où vos appareils sont compromis à votre insu.
Rejoignez-nous sur les réseaux sociaux
Aucun spam – Désinscription en un clic – Vie privée respectée
Trois chercheurs israéliens ont mis au jour une faille alarmante dans Gemini, l’assistant IA de Google. En cachant des instructions malveillantes dans le titre d’un événement Google Calendar, ils ont réussi à manipuler l’IA pour exécuter des actions inattendues : prise de contrôle de domotique, suppression de rendez-vous, géolocalisation, déclenchement d’appels, diffusion de messages injurieux et vol de correspondances. Baptisée « Invitation Is All You Need », cette attaque de type promptware démontre à quel point un simple rendez-vous numérique peut devenir une arme d’intrusion. Google a réagi avec filtres, confirmation humaine et détection par apprentissage automatique. Mais l’incident souligne les risques majeurs liés à l’intégration des IA dans nos vies connectées.
Quand une invitation devient une intrusion
Tout commence dans un appartement discret de Tel-Aviv. Les volets motorisés, les lumières connectées et la chaudière semblent fonctionner normalement. Pourtant, au moment précis où un occupant demande à Gemini de lui lire ses prochains rendez-vous, la pièce bascule dans l’étrange : les volets s’ouvrent sans demande, la chaudière s’allume, un appel vidéo se prépare en arrière-plan. La source ? Une simple invitation Google Calendar, envoyée quelques jours plus tôt et soigneusement camouflée pour paraître banale.
Derrière cette démonstration se trouvent Ben Nassi, Stav Cohen et Or Yair, chercheurs en cybersécurité. Leur objectif : prouver qu’un assistant IA peut être manipulé sans interaction directe avec sa victime, en exploitant la manière dont il lit et interprète les informations contextuelles.
Ils ont découvert que Gemini, lorsqu’il lit un événement du calendrier, intègre l’intégralité du titre et de la description dans son « contexte » d’analyse. Si ces informations contiennent des instructions malveillantes, l’IA peut les exécuter, convaincue qu’elles font partie de la demande de l’utilisateur. L’utilisateur, lui, ne voit qu’un résumé anodin… mais déclenche malgré lui une séquence invisible.
L’ombre du promptware
Le terme promptware décrit ces attaques qui n’exploitent pas une faille de code, mais la confiance qu’un système accorde à son entrée textuelle. Dans ce cas, l’entrée n’est pas tapée par l’utilisateur : elle arrive automatiquement par un service tiers, ici Google Calendar. L’équipe a ainsi démontré que l’on pouvait transformer une simple donnée textuelle en levier de compromission.
Les scénarios qu’ils ont simulés donnent le vertige. Un message caché dans un rendez-vous peut ordonner à Gemini d’envoyer un courriel à une liste précise, ce qui permet de diffuser du spam ou de mener des campagnes de phishing. Un autre peut lui demander de supprimer certains événements importants de l’agenda, créant une désorganisation ciblée. Les chercheurs ont aussi montré qu’il est possible d’obtenir la localisation d’un appareil et de la transmettre discrètement à un tiers, ouvrant la voie à une surveillance intrusive.
Ils ont poussé l’expérience plus loin : contrôle d’objets connectés via Google Home, comme allumer une chaudière ou déverrouiller une porte ; déclenchement d’appels vidéo non sollicités ; ou encore insertion de messages offensants dans des conversations. Autant d’actions qui, dans un contexte professionnel ou privé, peuvent provoquer des dommages tangibles, financiers comme psychologiques.
L’efficacité de ces attaques repose sur deux facteurs : leur invisibilité et leur proximité avec l’usage normal de l’IA. Gemini croit agir sur ordre légitime. L’utilisateur, lui, ne soupçonne rien, puisque l’action est liée à une commande vocale qu’il a lui-même donnée, comme « Quels sont mes prochains rendez-vous ? ».
La contrainte technique : pour que l’attaque fonctionne, le rendez-vous piégé doit figurer dans les cinq événements les plus récents de l’agenda. Les chercheurs ont donc imaginé des stratégies pour maintenir l’événement dans cette zone visible, notamment en multipliant les invitations successives, chacune repoussant l’ancienne plus loin dans la liste.
L’alerte cyber et renseignement
Cette faille révèle bien plus qu’un simple problème technique : elle met en lumière la manière dont l’intégration des IA dans nos outils quotidiens peut créer des points d’entrée inattendus pour des opérations de renseignement.
Dans un scénario d’espionnage, une agence malveillante pourrait envoyer à grande échelle des invitations piégées à des cibles précises, déclenchant des actions d’exfiltration ou de sabotage à distance. Contrairement aux campagnes de phishing classiques, il n’est pas nécessaire que la victime clique sur un lien ou télécharge un fichier. Le seul fait de demander à Gemini d’accéder à son calendrier suffit.
L’attaque contourne aussi les défenses humaines : même un utilisateur prudent, conscient des risques des emails suspects, n’imaginerait pas qu’une notification de réunion puisse activer une porte d’entrée vers ses données.
Google, alerté par cette découverte, a réagi en déployant plusieurs contre-mesures. La première : un filtrage de sortie, visant à bloquer la transmission de données sensibles. Ensuite, un système de confirmation humaine avant d’exécuter certaines actions jugées à risque. Enfin, un renforcement de la détection automatique par apprentissage automatique, afin d’identifier les formulations suspectes insérées dans des contenus apparemment anodins.
Ces mesures réduisent le risque immédiat, mais elles ne changent pas la nature fondamentale du problème : la dépendance croissante de nos outils à des IA qui, par conception, obéissent aveuglément au texte qu’elles interprètent.
Une vigilance de tous les instants
Pour se prémunir de ce genre d’attaque, il ne suffit pas de compter sur les correctifs des éditeurs. Les utilisateurs peuvent limiter l’exposition en restreignant l’accès de Gemini aux données sensibles. Examiner régulièrement les nouveaux événements ajoutés au calendrier, surtout lorsqu’ils proviennent de sources inconnues, reste une précaution utile. Dans les paramètres, il est possible de forcer une validation manuelle avant toute action impactant le monde réel, comme contrôler un appareil domestique.
La sensibilisation joue un rôle clé. Comprendre que le promptware peut se glisser dans n’importe quelle interaction avec une IA, même indirecte, aide à repérer des comportements anormaux. Enfin, du côté des développeurs et architectes systèmes, il est urgent de concevoir des IA qui ne puissent pas exécuter d’actions critiques sur la seule base de contenu textuel non vérifié.
