Des clés API Google publiques deviennent des accès sensibles à Gemini : élévation de privilèges
Selon Truffle Security (blog), Google a longtemps indiqué que les clés API Google (ex. Maps, Firebase) n’étaient pas des secrets et pouvaient être intégrées côté client ; depuis l’activation de l’API Gemini (Generative Language API) sur un projet, ces mêmes clés peuvent désormais authentifier vers des endpoints sensibles, sans alerte ni consentement explicite, transformant des identifiants de facturation en véritables crédentielles. Le problème central tient à l’usage d’un format de clé unique « AIza… » pour l’identification publique et l’authentification sensible, provoquant une élévation de privilèges rétroactive et des défauts de sécurité par défaut (clés « Unrestricted » valides pour tous les services activés, dont Gemini). Truffle Security qualifie cela d’« Insecure Default posture » (CWE-1188) et « Incorrect Privilege Assignment » (CWE-269), avec une absence de séparation des clés (publishes vs. secrètes). ...