Des chercheurs en sécurité ont découvert une faille critique dans l'agent d'IA de codage Gemini CLI de Google. Elle pourrait permettre l'exécution de commandes malveillantes et l'infiltration silencieuse de données. La vulnérabilité provient de la manière dont Gemini CLI met en œuvre les listes blanches, en demandant l'autorisation d'exécuter des commandes Shell et en permettant aux utilisateurs d'ajouter certaines commandes à la liste blanche pour le reste de la session. Malgré les progrès, les assistants d'IA de codage restent confrontés à des défis techniques majeurs, sabotant ou supprimant parfois les bases de code établies des clients.Gemini CLI est un agent d'IA libre et open source qui apporte la puissance de Gemini directement dans votre terminal. Google affirme : « il offre un accès léger à Gemini, vous donnant le chemin le plus direct entre votre prompt et notre modèle. Bien qu'il excelle dans le codage, nous avons conçu Gemini CLI pour faire bien plus encore ». Lancé en juin 2025, Gemini CLI est basé sur Gemini 2.5 Pro et vise à rendre les développeurs logiciels plus productifs.
Selon Google, Gemini CLI est un utilitaire local « polyvalent » que vous pouvez utiliser pour un large éventail de tâches, de la génération de contenu et la résolution de problèmes à la recherche approfondie et la gestion des tâches. Gemini CLI est également intégré à l'assistant d'IA de codage Gemini Code Assist.
Google affirme que cela vise à permettre à tous les développeurs, qu'ils disposent d'un abonnement gratuit, Standard ou Enterprise Code Assist, puissent bénéficier d'un codage basé sur l'IA et guidé par des prompts dans VS Code et Gemini CLI. Cet utilitaire est entièrement open source (Apache 2.0), de sorte que les développeurs peuvent inspecter le code et contribuer à l'améliorer. L'ouverture s'étend à la manière dont vous configurez l'agent d'IA.
Gemini CLI a exposé les utilisateurs à des risques de violation de données
Moins de 48 heures après son lancement, Tracebit a découvert et signalé une vulnérabilité qui signifiait que, dans sa configuration par défaut, Gemini CLI pouvait exécuter silencieusement du code malveillant arbitraire sur la machine d'un utilisateur lorsqu'il était exécuté dans le contexte d'un code non fiable. Selon Sam Cox, cofondateur et directeur technique de TraceBit, cela pouvait être fait de manière à dissimuler cette action à la victime de l'attaque.
Le rapport de Tracebit indique que la vulnérabilité provient de la manière dont Gemini CLI met en œuvre les listes blanches, en demandant l'autorisation d'exécuter des commandes Shell et en permettant aux utilisateurs d'ajouter certaines commandes à la liste blanche pour le reste de la session. « La méthode utilisée par Gemini pour comparer les commandes à la liste blanche est insuffisante en tant que contrôle de sécurité », a expliqué Sam Cox.
« Cela signifie que nous pouvons orchestrer une attaque en deux étapes : tout d'abord, nous amenons l'utilisateur à ajouter une commande inoffensive à la liste blanche. Ensuite, nous tentons d'exécuter une commande malveillante en la faisant passer pour cette commande inoffensive qui, ayant été ajoutée à la liste blanche, ne sera pas soumise à l'approbation de l'utilisateur avant son exécution », explique le directeur technique de TraceBit.
Google a récemment corrigé cette vulnérabilité critique avec la sortie de Gemini CLI v0.1.14, qui affiche désormais toutes les commandes qu'il tente d'exécuter et nécessite l'accord explicite de l'utilisateur pour toute commande suspecte. « Notre modèle de sécurité pour la CLI est axé sur la fourniture d'un sandboxing robuste et multicouche », a déclaré l'équipe du programme de divulgation des vulnérabilités de Google dans un communiqué.
Dans son communiqué, l'équipe explique : « nous proposons des intégrations avec Docker, Podman et macOS Seatbelt, et fournissons même des conteneurs préconstruits que Gemini CLI peut utiliser automatiquement pour une protection transparente. Pour tout utilisateur qui choisit de ne pas utiliser le sandboxing, nous veillons à ce que cela soit clairement visible en affichant un avertissement permanent en rouge tout au long de sa session ».
Fonctionnement et impact potentiel de la vulnérabilité dans Gemini CLI
Google a lancé Gemini CLI le 25 juillet 2025. Le 27 juin, les chercheurs Tracebit avaient déjà mis au point une attaque qui contournait les contrôles de sécurité intégrés conçus pour empêcher l'exécution de commandes malveillantes. Selon l'équipe de Tracebit, l'exploit nécessite uniquement que l'utilisateur (1) demande à Gemini CLI de décrire un paquet de code créé par l'attaquant et (2) ajoute une commande inoffensive à une liste d'autorisation.
Le paquet de code malveillant ne semblait pas différent des millions d'autres disponibles dans des référentiels tels que NPM, PyPI ou GitHub, qui hébergent régulièrement des codes malveillants téléchargés par des acteurs malveillants dans le cadre d'attaques visant la chaîne d'approvisionnement.
Le code lui-même contenu dans le paquet était tout à fait inoffensif. La seule trace de malveillance était une poignée de phrases en langage naturel enfouies dans un fichier README.md, qui, comme tous les fichiers de ce type, était inclus dans le paquet de code afin de fournir des informations de base sur son objectif, sa portée et ses exigences. Selon les experts, c'était l'endroit idéal pour les chercheurs pour dissimuler une injection de prompt.
Les développeurs se contentent souvent de parcourir ces fichiers, ce qui réduit les chances qu'ils détectent l'injection. En revanche, on pouvait s'attendre à ce que Gemini CLI lise attentivement et analyse le fichier dans son intégralité. Les deux douzaines de lignes en langage naturel contenues dans le fichier README.md exploitaient une série de vulnérabilités qui, lorsqu'elles étaient enchaînées, provoquaient l'exécution silencieuse de commandes.
Ces commandes provoquaient la connexion de l'appareil du développeur à un serveur contrôlé par l'attaquant et la transmission des variables d'environnement de l'appareil utilisé par le développeur. Ces informations contiennent divers paramètres système et peuvent souvent inclure des identifiants de compte. Gemini n'aurait donc jamais dû les exécuter sans autorisation explicite. Ce qui exposait les utilisateurs à des violations de données.
À la suite du signalement de l'équipe de sécurité de Tracebit, Google a classé le correctif et la vulnérabilité comme Priorité 1 et Gravité 1. L'entreprise a indiqué clairement qu'elle reconnaît les conséquences potentiellement désastreuses si la...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.