● Numerama Cyber 📅 04/06/2026 à 17:05

Cybersécurité 👤 Amine Baba Aissa

🏷️ Tags : injection de prompt

Lecture Zen Résumer l'article Des chercheurs de SafeBreach ont démontré comment les notifications peuvent suffisamment manipuler Google Gemini via des instructions invisibles dissimulées, exploitant une faille structurelle dans la gestion des résumés vocaux. Les attaques exploitent la fonction d'oralisation des notifications par Gemini, en utilisant le « Alignement contextuel trompeur », permettant aux messages de paraître crédibles en masquant les instructions malveillantes derrière des interfaces apparemment anodines. Malgré les mises à jour de sécurité déployées par Google pour contrer ces techniques, le problème persiste car les injections de prompt ciblent le cœur même du fonctionnement des modèles de langage, nécessitant des garde-fous continuellement évolutifs. Des chercheurs de SafeBreach ont démontré comment les notifications peuvent suffisamment manipuler Google Gemini via des instructions invisibles dissimulées, exploitant une faille structurelle dans la gestion des résumés vocaux. Les attaques exploitent la fonction d'oralisation des notifications par Gemini, en utilisant le « Alignement contextuel trompeur », permettant aux messages de paraître crédibles en masquant les instructions malveillantes derrière des interfaces apparemment anodines. Malgré les mises à jour de sécurité déployées par Google pour contrer ces techniques, le problème persiste car les injections de prompt ciblent le cœur même du fonctionnement des modèles de langage, nécessitant des garde-fous continuellement évolutifs. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Dans un article publié le 3 juin 2026, des chercheurs de SafeBreach ont prouvé comment de simples notifications pouvaient suffire à manipuler Google Gemini. En exploitant le résumé vocal des messages, ils sont notamment parvenus à injecter des instructions invisibles, capables de tromper l’utilisateur à son insu. C’est une nouvelle variante d’un problème déjà connu. Celle d’une démonstration marquante présentée à Black Hat 2025, où une simple invitation Google Calendar piégée pouvait pousser Gemini à exécuter des actions malveillantes, jusqu’au contrôle d’objets connectés. Cette fois, les chercheurs de SafeBreach ont exploré un autre point d’entrée : les notifications de messagerie. Dans une étude publiée le 3 juin 2026, les équipes de la société de cybersécurité ont montré comment l’assistant vocal de Gemini peut être manipulé lorsqu’il lit ou résume des messages reçus via des applications comme WhatsApp. Le problème ne vient pas d’un bug classique, mais d’une faiblesse structurelle : l’IA ne distingue pas toujours correctement ce qui relève d’une instruction légitime ou d’un contenu malveillant intégré dans un message. Le risque est toujours le même : celui d’une injection de prompt indirecte, une technique qui consiste à glisser des instructions cachées dans des contenus apparemment anodins pour influencer le comportement du modèle. Et votre vie numérique devient sereine Bitdefender Premium Security est une solution de cybersécurité européenne qui vous protège automatiquement contre les pirates et toutes les menaces du web. Profitez de vos activités en ligne en toute tranquillité Sponsorisé La solution de cybersécurité tout-en-un Selon SafeBreach, ces techniques peuvent mener à des actions non autorisées, comme l’usurpation de contacts, illustrée dans une vidéo où un message est attribué à un contact différent de l’expéditeur réel. Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube. Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus) En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires. Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies. J’accepte tout Gérer mes choix Comment une notification peut piéger Gemini L’attaque repose sur le fait de piéger la fonction « Utilitaires » de Gemini, capable de lire ou de résumer à voix haute les notifications Android. Concrètement, un attaquant envoie un message Whatsapp, Signal, Slack ou autres contenant des instructions cachées. Lorsque l’utilisateur demande un résumé de ses notifications, l’assistant risque alors de modifier son interprétation du message et présenter un contenu frauduleux comme légitime, en le faisant passer par exemple pour une communication provenant d’un contact de confiance. Pour contourner les protections mises en place par Google, les chercheurs ont utilisé une technique qu’ils appellent « Alignement contextuel trompeur ». Elle exploite les différences d’interprétation entre ce que voit l’utilisateur et ce que traite le modèle lors de l’analyse des notifications. Concrètement, un message peut contenir des éléments invisibles ou non vocalisés, comme du texte caché dans un lien ou des portions de message qui ne sont pas restituées à la lecture audio, mais qui restent prises en compte par Gemini. L’utilisateur perçoit alors une notification banale, tandis que l’assistant dispose d’un contexte plus large pouvant inclure des instructions implicites. Les chercheurs ont également montré qu’une instruction malveillante pouvait rester en attente dans le contexte de Gemini, puis se déclencher lorsqu’un utilisateur envoyait un message anodin, comme « Merci ». // Source : SafeBreach Une faille corrigée, mais un problème persistant Informée de cette découverte, Google a depuis déployé des mises à jour de ses systèmes de détection pour bloquer cette technique. Aucune exploitation réelle de cette attaque n’a été observée à ce jour. Pour autant, les chercheurs insistent sur un point clé : il ne s’agit pas d’une vulnérabilité classique que l’on peut corriger définitivement. Les attaques par injection de prompt exploitent le fonctionnement même des modèles de langage. Selon SafeBreach, toute entrée externe, y compris une notification, doit être considérée comme non fiable. Le défi pour les éditeurs consiste donc à multiplier les garde-fous, sans pour autant pouvoir garantir de bloquer toutes les variantes futures. Votre VPN préféré n'est pas celui que vous croyez Quels sont les meilleurs VPN en 2026 ? Notre comparatif Retrouvez notre comparateur pour choisir le meilleur VPN Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Pour ne rien manquer de l’actualité, suivez Numerama sur Google ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte cybersécurité Google Google Gemini Hackers Hygiène numérique Intelligence artificielle Tech Sécurité informatique B2B Ne plus voir cette pub Ne plus voir cette pub

🔗 Lire l'article original 👁️ 0 lecture