Une invitation Google Agenda, et soudain tout le monde est invité
On a tous reçu un jour une invitation Google Agenda un peu étrange. Un rendez-vous à 7h12, un titre cryptique, et une description qui ressemble à un copier coller d’un roman de gare. En général, on supprime et on passe à autre chose.
Sauf que dans une démonstration récente, des chercheurs ont montré qu’une invitation Google Agenda pouvait servir de cheval de Troie sémantique pour influencer Gemini et le pousser à réexposer des informations de réunions privées. Pas en piratant votre compte avec un mot de passe en mousse, mais en jouant sur la façon dont un assistant IA lit et interprète du texte.
Le plus troublant dans l’histoire, c’est que l’utilisateur n’a pas besoin de cliquer sur un lien suspect ou d’autoriser manuellement une action louche. Il suffit, dans certains cas, de poser une question banale à Gemini sur son planning.
Le point de départ : Gemini lit votre agenda pour vous aider
Gemini est conçu pour être utile. Vraiment utile. Il peut analyser votre Google Agenda pour répondre à des questions du type :
- Qu’est-ce que j’ai comme réunions aujourd’hui ?
- À quelle heure commence mon prochain call ?
- Peux-tu me résumer ma journée ?
Pour faire ça, l’IA parcourt les données des événements : titres, horaires, participants, et surtout les descriptions. Et c’est là que la magie se transforme en tour de passe passe.
La description d’un événement Google Agenda est un champ libre. On y met des liens de visio, un ordre du jour, un doc partagé, parfois même un petit mémo du style ne pas oublier de parler du budget.
Dans la démonstration de Miggo Security, ce champ libre a servi à cacher une instruction en langage naturel, une sorte de prompt dormant destiné à être interprété par Gemini au moment où il analyse l’agenda.
Le “prompt dormant” : l’instruction cachée dans un endroit banal
On parle beaucoup de prompt injection dans les emails, les pages web, les documents. Ici, la même logique est appliquée à un endroit auquel on pense rarement : une invitation de calendrier.
Le scénario, simplifié, ressemble à ça :
- Un attaquant envoie une invitation Google Agenda à une cible.
- L’invitation contient une description avec une instruction cachée.
- La cible consulte Gemini et lui demande quelque chose de standard sur ses réunions.
- Gemini lit l’agenda, tombe sur l’instruction, et l’exécute.
Dans la démonstration, l’instruction pousse Gemini à résumer des réunions privées et à créer un nouvel événement contenant ce résumé.
Et c’est là que la fuite peut apparaître : si ce nouvel événement est créé dans un contexte où le calendrier est partagé ou visible par d’autres personnes, le résumé peut devenir accessible à un tiers.
Autrement dit, on ne vole pas directement les notes. On amène l’assistant à les recopier ailleurs, dans un endroit potentiellement plus exposé. C’est un peu comme si quelqu’un vous glissait un post it dans votre agenda papier en disant : recopie tes secrets sur une affiche dans le couloir. Sauf que c’est l’IA qui tient le marqueur.
Pourquoi c’est crédible : l’IA ne distingue pas “contenu” et “consigne”
Le problème n’est pas qu’une description de calendrier soit dangereuse en soi. Le problème, c’est l’ambiguïté.
Pour un humain, une description est juste du contenu. Pour une IA, c’est souvent un mélange de contenu et de possibles instructions.
Si le modèle a été conçu pour aider, automatiser et créer des événements, il peut être tenté d’obéir à des consignes formulées de façon naturelle, même si elles sont placées dans un endroit inattendu.
C’est exactement le cœur des attaques dites sémantiques : on ne casse pas une barrière technique, on exploite une frontière floue entre ce que l’IA lit et ce qu’elle doit faire.
Et quand l’IA a des droits d’écriture dans des outils collaboratifs, les dégâts peuvent dépasser le simple bug gênant.
Le détail qui change tout : la création d’un nouvel événement
Dans cette démonstration, l’effet le plus important n’est pas seulement le résumé. C’est le fait que Gemini puisse créer ou modifier un objet partagé, ici un événement Google Agenda.
Parce que le calendrier n’est pas qu’un bloc note personnel :
- il est souvent partagé en interne
- il est parfois visible à des prestataires
- il peut être consulté par une équipe
- il peut afficher des détails selon les règles de partage
Donc si Gemini écrit un nouvel événement contenant des infos issues de réunions confidentielles, ce n’est plus juste une hallucination drôle. C’est une potentielle exposition de données d’entreprise.
On ne parle pas forcément de secrets industriels dignes d’un film d’espionnage. Mais dans la vraie vie, un résumé de réunion peut inclure :
- noms de clients
- sujets RH
- informations budgétaires
- dates de lancement
- décisions internes
Et ce genre d’informations, même fragmentaires, fait le bonheur des attaquants. Le puzzle se reconstitue très vite.
Une attaque sans clic : le piège du “sans interaction visible”
Un des éléments les plus inquiétants rapportés par les chercheurs est l’absence d’interaction évidente. Ici, pas besoin de :
- télécharger une pièce jointe
- activer une macro
- cliquer sur un lien
La séquence peut se déclencher lorsque l’utilisateur demande simplement à Gemini une synthèse de son planning ou une aide sur sa journée.
C’est un rappel assez brutal : avec les assistants IA, l’attaque peut se cacher dans un endroit banal, et l’action se déclencher lors d’un usage normal. Le phishing classique vous demande de faire une bêtise. Là, on vous demande juste d’être productif. C’est plus vicieux, et franchement ça mérite une médaille du mauvais esprit.
Google a corrigé, mais la question reste entière
Google a indiqué qu’un correctif a été déployé suite au signalement, ce qui est une bonne nouvelle.
Mais l’histoire va au-delà d’un patch. Elle illustre un problème structurel : plus on connecte une IA à des outils concrets, plus il faut une stratégie claire sur :
- ce que l’IA peut lire
- ce qu’elle peut écrire
- quand elle doit demander confirmation
- comment elle doit traiter du texte non fiable
Car Google Agenda n’est pas un cas isolé. Le même schéma peut exister dans :
- les emails
- les documents
- les tickets support
- les chats internes
- les CRM
Dès qu’un champ texte libre peut être lu par une IA et qu’une action peut être effectuée ensuite, le risque d’injection revient par la fenêtre.
Ce que ça dit de l’avenir des assistants : la sécurité doit devenir un design, pas un patch
On entre dans une époque où les assistants IA ne sont plus juste des moteurs de réponses, mais des opérateurs.
Ils prennent des décisions, déclenchent des actions, créent des objets. Et ça exige des garde fous plus proches de la sécurité applicative que de la simple modération de contenu.
Quelques principes deviennent incontournables :
- Séparer données et instructions : traiter certains champs comme du contenu non exécutable.
- Limiter les permissions d’écriture : une IA en lecture seule, c’est moins fun mais aussi moins explosif.
- Exiger une confirmation explicite avant de créer ou modifier un événement.
- Tracer les actions : savoir quel événement a été généré par l’IA, et à partir de quelles sources.
- Appliquer une politique de confiance : une invitation externe ne devrait pas avoir le même poids qu’un événement interne.
On peut résumer ainsi : si votre IA peut agir, elle doit être gouvernée. Sinon, elle gouvernera votre agenda à votre place, et pas toujours dans le bon sens.
Les bons réflexes côté entreprise pour éviter la fuite via Google Agenda
Même avec un correctif, les bonnes pratiques restent utiles, parce que d’autres variantes existeront.
1) Limiter le partage des calendriers
Vérifiez les règles de partage :
- qui peut voir les détails
- qui peut voir uniquement libre occupé
- qui peut modifier
Dans beaucoup d’organisations, les calendriers sont trop ouverts par habitude. C’est pratique, mais c’est aussi un buffet à volonté pour les fuites involontaires.
2) Désactiver ou restreindre l’accès de l’assistant aux actions sensibles
Si l’assistant a la capacité de créer des événements, demandez-vous si c’est nécessaire. Dans les contextes à forte confidentialité, l’option lecture seule est souvent un meilleur compromis.
3) Se méfier des invitations externes
Une invitation envoyée depuis l’extérieur, c’est comme un colis non attendu. Même si ça a l’air normal, gardez un œil sur :
- les descriptions très longues
- les formulations inhabituelles
- les consignes déguisées
Oui, c’est absurde d’en arriver là pour un calendrier. Mais c’est le monde dans lequel on vit désormais.
4) Auditer les événements créés automatiquement
Si vos équipes utilisent Gemini ou des fonctions similaires, mettez en place une routine simple : vérifier les événements ajoutés récemment, surtout s’ils contiennent des résumés ou des textes générés.
5) Former les utilisateurs à la prompt injection
Le terme fait peur, mais l’idée est simple : tout texte peut contenir une consigne pour l’IA. Email, doc, invitation, commentaire.
Une sensibilisation courte et concrète vaut mieux qu’une politique de sécurité de 43 pages que personne ne lit (sauf peut-être Gemini, et encore).
Automatisation et IA : utile, mais pas sans ceinture de sécurité
L’incident met aussi en lumière un point clé : l’automatisation est fantastique, jusqu’au moment où elle touche à des données partagées.
Si vous automatisez des workflows (création d’événements, comptes rendus, synchronisations), appliquez les mêmes règles que pour un script en production :
- permissions minimales
- validation humaine sur les actions à risque
- logs
- séparation des environnements
Et si vous utilisez une plateforme d’automatisation pour connecter des outils, gardez la même discipline. Un workflow qui écrit dans un agenda partagé mérite autant d’attention qu’un workflow qui envoie des emails.
Pour celles et ceux qui prototypent beaucoup, une bonne pratique consiste à commencer avec un calendrier de test, puis à migrer en production seulement quand les règles de partage et les validations sont verrouillées.
À retenir : le calendrier devient une surface d’attaque comme une autre
Cette démonstration autour de Gemini et Google Agenda rappelle une réalité : la surface d’attaque ne se limite plus aux exécutables et aux liens suspects.
Aujourd’hui, un simple champ de description peut devenir un vecteur d’influence sur une IA. Et si l’IA peut écrire dans un outil partagé, l’influence peut se transformer en exposition de données.
Les correctifs aident, mais l’enjeu de fond reste le même : on doit traiter les assistants IA comme des logiciels avec privilèges, pas comme des gadgets.