Une startup mexicaine de trois développeurs se retrouve face à une facture de 82 314 dollars en quarante-huit heures, après le vol d'une clé API Google Cloud. Ce cas spectaculaire n'est pas un fait divers isolé : il révèle une faille structurelle dans la façon dont Google a intégré Gemini à son infrastructure de clés API existante — et soulève des questions fondamentales sur la responsabilité des grands fournisseurs cloud face aux petites équipes qui leur font confiance.Il a suffi de deux jours. Entre le 11 et le 12 février 2026, une clé API Google Cloud compromise a permis à des attaquants inconnus de générer 82 314,44 dollars de consommation sur les services Gemini d'une jeune pousse mexicaine. La facture mensuelle habituelle de cette équipe de trois développeurs s'élevait à environ 180 dollars. En moins de quarante-huit heures, elle avait été multipliée par 457.
L'un des développeurs affectés a partagé sa détresse sur Reddit avec ces mots : « Je suis en état de choc et de panique en ce moment. » Il y décrit comment la clé API Google Cloud de leur startup a été compromise sur une courte fenêtre de temps, utilisée massivement pour accéder aux services Gemini 3 Pro Image et Gemini 3 Pro Text.
La startup opérait dans des conditions financières serrées, espérant qu'un jour son produit deviendrait rentable. Les développeurs redoutent que même le paiement d'un tiers de cette somme pourrait suffire à mettre la société en faillite. Face à cette situation, ils ont tenté de négocier avec Google, mais le géant technologique a refusé de revoir le montant avant tout paiement. Ils ont également déposé plainte auprès du FBI.
La défense de Google : le modèle de responsabilité partagée
La réponse officielle de Google a été rapide et sans concession. Un porte-parole de Google Mountain View a indiqué que les clients utilisant les services d'IA générative sont responsables de la protection de leurs propres identifiants, dans le cadre du « Shared Responsibility Model » de la plateforme. En vertu de ce modèle, les fournisseurs cloud sécurisent l'infrastructure, mais les utilisateurs doivent sécuriser leurs propres outils d'authentification.
Les développeurs ont déclaré ne pas avoir commis d'erreur opérationnelle « évidente ». Et, selon eux, c'est là tout le problème : la frontière entre une bonne et une mauvaise pratique de sécurité est de plus en plus floue dans l'écosystème cloud, notamment en raison d'une vulnérabilité structurelle que des chercheurs ont mis des mois à faire reconnaître par Google lui-même. Ce positionnement est juridiquement défendable. Il est aussi profondément problématique.
La faille sous-jacente : quand Gemini a silencieusement élargi les privilèges des clés API
Pour comprendre ce qui s'est passé, il faut revenir en arrière. Pendant des années, les clés API Google Cloud — reconnaissables à leur préfixe AIza — ont été conçues comme de simples identifiants de projet pour la facturation. La documentation officielle de Google Maps, par exemple, invitait explicitement les développeurs à intégrer leur clé API directement dans le code HTML de leurs pages web, dans une balise <script> visible dans le code source de n'importe quel navigateur.
La documentation Firebase allait dans le même sens, en affirmant que les clés API pour les services Firebase « ne sont pas secrètes » et qu'elles peuvent « être intégrées en toute sécurité dans le code client ».
Ces instructions étaient exactes au moment de leur rédaction. Les clés n'étaient pas des credentials d'authentification à proprement parler. Puis Gemini est arrivé — et tout a changé, sans que personne ne soit prévenu.
Lorsqu'un développeur active l'API Gemini (officiellement dénommée « Generative Language API ») sur un projet Google Cloud, toutes les clés API existantes de ce projet acquièrent silencieusement la capacité de s'authentifier auprès des endpoints Gemini. La clé elle-même ne change pas. Ce qui change, c'est ce que le backend de Google accepte désormais d'elle.
La firme de cybersécurité TruffleSecurity, à l'origine de cette découverte, résume le problème en une phrase : « Aucun avertissement. Aucune boîte de dialogue de confirmation. Aucune notification par e-mail. »
2 863 clés exposées découvertes dans une seule exploration du web
L'ampleur du problème est vertigineuse. TruffleSecurity a scanné le jeu de données Common Crawl de novembre 2025 — une archive publique couvrant environ 700 téraoctets de contenu web, soit 2,29 milliards de pages — et a identifié 2 863 clés API Google actives et vulnérables à cette escalade de privilèges.
Parmi les victimes potentielles : des institutions financières majeures, des entreprises de sécurité, des cabinets de recrutement mondiaux, et Google lui-même. L'une des clés découvertes était intégrée dans...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par Stéphane le calme
