Gemini piégé par de simples notifications : une attaque par injection de prompt a détourné l’assistant de Google

Nous générons pour vous un résumé de l’article grâce à une IA et nous le vérifions afin de nous assurer qu’il n’y ait aucune erreur, pour garantir l’authenticité de l’info.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’

C’est une nouvelle variante d’un problème déjà connu. Celle d’une démonstration marquante présentée à Black Hat 2025, où une simple invitation Google Calendar piégée pouvait pousser Gemini à exécuter des actions malveillantes, jusqu’au contrôle d’objets connectés. Cette fois, les chercheurs de SafeBreach ont exploré un autre point d’entrée : les notifications de messagerie.

Le risque est toujours le même : celui d’une injection de prompt indirecte, une technique qui consiste à glisser des instructions cachées dans des contenus apparemment anodins pour influencer le comportement du modèle.

Selon SafeBreach, ces techniques peuvent mener à des actions non autorisées, comme l’usurpation de contacts, illustrée dans une vidéo où un message est attribué à un contact différent de l’expéditeur réel.

L’attaque repose sur le fait de piéger la fonction « Utilitaires » de Gemini, capable de lire ou de résumer à voix haute les notifications Android.

Concrètement, un attaquant envoie un message Whatsapp, Signal, Slack ou autres contenant des instructions cachées. Lorsque l’utilisateur demande un résumé de ses notifications, l’assistant risque alors de modifier son interprétation du message et présenter un contenu frauduleux comme légitime, en le faisant passer par exemple pour une communication provenant d’un contact de confiance.

Pour contourner les protections mises en place par Google, les chercheurs ont utilisé une technique qu’ils appellent « Alignement contextuel trompeur ». Elle exploite les différences d’interprétation entre ce que voit l’utilisateur et ce que traite le modèle lors de l’analyse des notifications. Concrètement, un message peut contenir des éléments invisibles ou non vocalisés, comme du texte caché dans un lien ou des portions de message qui ne sont pas restituées à la lecture audio, mais qui restent prises en compte par Gemini. L’utilisateur perçoit alors une notification banale, tandis que l’assistant dispose d’un contexte plus large pouvant inclure des instructions implicites.

Informée de cette découverte, Google a depuis déployé des mises à jour de ses systèmes de détection pour bloquer cette technique. Aucune exploitation réelle de cette attaque n’a été observée à ce jour.

Pour autant, les chercheurs insistent sur un point clé : il ne s’agit pas d’une vulnérabilité classique que l’on peut corrig