Les clés API Google restent utilisables 23 minutes après leur suppression

Supprimer une clé API Google compromise n'arrête pas immédiatement les abus. Les attaquants peuvent encore l'utiliser pendant 23 minutes en moyenne, avec un taux de réussite supérieur à 90 %, selon la société de sécurité Aikido.

TechCrunch a interviewé le COO de Google Cloud, Francis de Souza, qui a reconnu le problème. « La sécurité n'est pas quelque chose que l'on peut ajouter après coup, et ce n'est pas quelque chose que l'on peut laisser aux employés pour qu'ils le fassent seuls », a-t-il déclaré.

Comment la fenêtre de 23 minutes fonctionne

Le problème a été révélé après que plusieurs développeurs ont subi des pertes financières. Le développeur Google Cloud Rod Danan a reçu une facture de 10 138 $ en 30 minutes après qu'un attaquant a utilisé sa clé API pour exécuter l'inférence Gemini. Un autre développeur, Isuru Fonseka de Sydney, Australie, avait fixé une limite de dépenses de 250 $ mais a tout de même reçu une facture de 17 000 AUD. La limite de paiement automatique était de 100 000 $, ce qui aurait théoriquement pu le ruiner en une nuit.

Pire encore, les clés volées étaient initialement destinées à Google Maps, mais les attaquants les ont utilisées pour accéder aux services Gemini. Les limites d'autorisation de l'API Google ne sont pas clairement définies : une clé Maps peut ouvrir la porte de Gemini.

Le chercheur d'Aikido, Joseph Leon, a découvert que la révocation d'une clé API Google compromise prend en moyenne 23 minutes pour se propager mondialement. Pendant ce temps, les attaquants peuvent continuer à utiliser la clé avec un taux de réussite supérieur à 90 %. « Les deux fonctionnent à l'échelle de Google. Les deux suggèrent que c'est techniquement résoluble pour les clés API Google aussi », a déclaré Leon, notant que les identifiants de compte de service peuvent être révoqués en 5 secondes et les clés de préfixe AQ de Gemini en environ 1 minute.

Le COO de Google admet qu'ils apprennent sur le tas

La journaliste de TechCrunch Connie Loizos a interrogé de Souza lors d'un événement à Los Angeles. « Il y aura une période de transition, et ensuite je pense que nous arriverons à un meilleur endroit », a-t-il dit, suggérant que l'entreprise n'a pas encore résolu le problème. Il a conseillé aux clients entreprises d'adopter une « approche plateforme » : « En plus de votre patrimoine habituel, vous avez maintenant des modèles. Vous avez des pipelines de données utilisés pour entraîner les modèles. »

La RSSI de LinkedIn, Lea Kissner, a ajouté : « Nous allons avoir besoin de personnes pour faire face à la bug-pocalypse. » Le terme fait référence à l'explosion de code généré par l'IA que les revues de sécurité ne peuvent pas suivre.

La vitesse des attaques s'accélère également

La même étude montre que le temps entre la violation initiale et l'étape suivante de l'attaque est passé de 8 heures à 22 secondes. Alors que la révocation de la clé API Google prend 23 minutes, les identifiants de compte de service peuvent être révoqués en 5 secondes et les clés de préfixe AQ de Gemini en environ 1 minute. Le taux de réussite de l'attaque pendant la fenêtre de 23 minutes dépasse 90 %.

Le passage de 8 heures à 22 secondes signifie que les équipes de sécurité ne peuvent plus analyser manuellement les alertes. Les chaînes d'attaque assistées par des agents IA ont compressé le mouvement latéral en secondes – exactement ce que Kissner a appelé la « bug-pocalypse ».

Qui est responsable

Le problème a deux couches. En surface, le mécanisme de révocation des clés API Google est défectueux. Techniquement résoluble, mais pas priorisé. À un niveau plus profond, les développeurs intègrent des clés dans le code côté client (typiquement des clés Google Maps dans le frontend), qui fuient ensuite et sont utilisées pour appeler des API payantes. La conception de l'API Google a un bug : les clés Maps ne devraient pas pouvoir appeler Gemini directement ; les limites d'autorisation ne sont pas claires.

L'aveu de « période de transition » de de Souza signifie que les meilleures pratiques de Google ne sont pas encore matures. Mais les clients ont déjà été facturés. Google a partiellement remboursé les développeurs concernés mais ne s'est pas engagé à réduire la fenêtre de 23 minutes. Les experts en sécurité disent que les configurations sécurisées par défaut sont plus importantes que les correctifs a posteriori. La fenêtre de 23 minutes de Google était une valeur par défaut que personne n'a remise en question jusqu'à ce qu'Aikido l'expose.

La question suivante est de savoir si d'autres fournisseurs de cloud vont en profiter. La révocation IAM d'AWS prend quelques secondes, et Azure est similaire. Si les prochains résultats de Google Cloud montrent une perte de clients, cet incident pourrait en être la cause.

Sources : CocoLoop ; Everyone is navigating AI security in real time — even Google (TechCrunch)