Publié le 26 février 2026. Une faille de sécurité chez Google expose potentiellement des données privées et des coûts imprévus pour les développeurs : des clés API initialement destinées à des services publics comme Google Maps donnent désormais accès à l’IA Gemini et à ses fonctionnalités facturables.
Près de 3 000 clés API Google, initialement déployées pour des services publics tels que Google Maps, ont été identifiées comme pouvant accéder à l’API Gemini, révélant une vulnérabilité critique. La société de sécurité Truffle Security a découvert ces clés lors d’une analyse réalisée en novembre 2025 et confirmée le 26 février 2026 en testant l’accès au point de terminaison /models de Gemini.
Le problème découle d’une architecture de Google qui utilise un format unique d’API key (AIza…) pour des services aux usages très différents. Pendant plus d’une décennie, Google a indiqué aux développeurs que les clés API destinées à l’intégration de Google Maps ou à Firebase n’étaient pas considérées comme des secrets, notamment car elles étaient souvent intégrées directement dans le code source des pages web. Cependant, avec le lancement de Gemini, l’API « Generative Language » a été activée par défaut sur tous les projets existants, conférant soudainement un accès sensible à ces clés publiques, sans avertissement ni consentement explicite.
Selon Truffle Security, cette situation ne relève pas d’une simple fuite de données d’identification, mais plutôt d’une « élévation de privilèges rétroactive », une rupture de confiance fondamentale. Un développeur pourrait ainsi activer involontairement la facturation Gemini sur une clé API publique existante.
« Ce qui en fait une élévation de privilèges plutôt qu’une mauvaise configuration, c’est la séquence des événements. »
- Un développeur crée une clé API et l’intègre dans un site Web pour Maps. (À ce stade, la clé est inoffensive.)
- L’API Gemini est activée sur le même projet. (Désormais, cette même clé peut accéder aux points de terminaison Gemini sensibles.)
- Le développeur n’est jamais averti que les privilèges des clés ont changé en dessous. (La clé est passée d’un identifiant public à un identifiant secret).
Des clés API internes à Google, déployées dès février 2023, ont également été identifiées comme vulnérables, soulignant l’ampleur du problème. Google travaille à la révocation des clés concernées, mais il est recommandé aux développeurs de vérifier si leurs propres clés sont affectées. Pour en savoir plus sur la gestion des clés API Gemini, consultez la documentation Google AI for Developers.
Ce problème est également discuté sur Hacker News.
Pour plus d’informations sur cette vulnérabilité, consultez le blog de Truffle Security.