Une enquête menée par la société de cybersécurité XM Cyber a révélé l’existence de deux vulnérabilités importantes dans la plateforme d’intelligence artificielle Google Vertex AI. Les failles permettent aux utilisateurs disposant d’autorisations minimales d’élever leurs privilèges, accédant aux fonctions du système avec une autorité beaucoup plus élevée que celle initialement désignée. Le problème central réside dans les paramètres par défaut de l’outil, qui accordent de larges pouvoirs aux soi-disant « agents de service », des comptes automatisés qui fonctionnent en arrière-plan.
Selon les chercheurs, l’exploitation de ces failles transforme un accès à faible risque, comme celui d’un simple spectateur, en un vecteur potentiel d’attaques internes complexes. En réponse à la divulgation responsable des failles, Google a signalé que le comportement observé est conforme à la conception originale de la plateforme, une position qui suscite un débat sur l’équilibre entre fonctionnalité et sécurité dans les services d’IA gérés dans le cloud.
L’alerte renforce l’inquiétude croissante des experts quant à la sécurité des environnements d’intelligence artificielle, où la complexité des opérations internes peut masquer des risques critiques. Cette découverte met en évidence la nécessité d’une gouvernance de sécurité plus rigoureuse de la part des entreprises qui adoptent ces technologies, afin d’éviter que les configurations par défaut ne deviennent des passerelles vers des menaces internes ou externes.
Le mécanisme derrière l’exploitation des privilèges
Les vulnérabilités identifiées par XM Cyber sont intrinsèquement liées à la manière dont Google Cloud gère les identités de ses « agents de service ». Essas sont des comptes de services spéciaux, contrôlés par la plateforme elle-même, qui agissent au nom de l’utilisateur pour effectuer des tâches automatisées et intégrer différentes ressources. Para garantit que les services d’IA fonctionnent de manière transparente et avec une efficacité maximale, Vertex AI accorde à ces agents des autorisations très larges au niveau du projet. La faille réside dans la capacité d’un attaquant, même avec un profil d’accès limité tel que « Viewer », à manipuler le système pour obtenir des jetons d’authentification de ces agents privilégiés sous certaines conditions. Une fois en possession de ces jetons, l’attaquant peut effectivement assumer l’identité de l’agent de service et effectuer des actions qui iraient bien au-delà de ses autorisations d’origine, comme accéder à des données sensibles, modifier des configurations ou interagir avec d’autres services Google Cloud, tout cela semblant être une opération légitime de la plateforme.
Réponse officielle de Google Cloud
Après avoir été informé par XM Cyber, Google Cloud a examiné le rapport et a classé le comportement comme intentionnel et conforme à la conception de l’IA de Vertex. La société n’a pas publié de commentaires publics supplémentaires, maintenant sa position selon laquelle les services fonctionnent comme prévu.
Cette approche donne la priorité à la commodité et à l’agilité, permettant aux développeurs d’activer et d’utiliser immédiatement des fonctionnalités avancées d’IA, sans avoir besoin de configurations d’autorisations complexes. Les agents de service fonctionnent avec un accès large pour garantir le bon fonctionnement des intégrations entre différents outils, tels que BigQuery et Cloud Storage.
Toutefois, les analystes en sécurité soulignent que cette philosophie de « sécurité par défaut » peut subordonner les modèles de gouvernance d’entreprise à l’architecture du fournisseur. Les entreprises clientes perdent la visibilité et le contrôle granulaire sur les composants internes cruciaux, faisant aveuglément confiance à la sécurité mise en œuvre par le fournisseur, ce qui peut créer des lacunes de protection importantes.
Implications pour la sécurité de l’entreprise
La principale conséquence de ces vulnérabilités est l’augmentation du risque lié aux menaces internes. Un employé malveillant ou un compte compromis doté des moindres privilèges pourrait exploiter cette faiblesse pour se déplacer latéralement dans l’environnement cloud, accédant à des informations sensibles ou sabotant des opérations critiques. La falsification des agents de service est particulièrement dangereuse car elle ne déclenche généralement pas les alertes de sécurité traditionnelles, calibrées pour détecter les activités suspectes des comptes d’utilisateurs humains.
Les outils de surveillance de la sécurité d’entreprise sont rarement configurés pour surveiller le comportement des identités gérées par le fournisseur, ce qui fait que l’abus de ces comptes est masqué comme une opération de routine de la plateforme. Dans les environnements d’IA, qui traitent souvent de grands volumes de données sensibles, le manque d’isolation adéquate et de surveillance spécifique augmente considérablement le rayon d’impact d’une éventuelle compromission. Atividades comment les requêtes de base de données inattendues, les accès non autorisés aux référentiels de stockage et les modifications apportées aux configurations d’orchestration peuvent passer inaperçus.
Historique des vulnérabilités sur la plateforme
Ce n’est pas la première fois que l’architecture de sécurité de Vertex AI est remise en question. En novembre 2024, des chercheurs de Palo Alto Networks ont révélé d’autres vulnérabilités sur la même plateforme qui permettaient également une élévation de privilèges, mais via des « tâches personnalisées » et l’exfiltration de modèles d’apprentissage automatique.
À cette époque, Google avait mis en œuvre des correctifs pour les problèmes mis en évidence, qui impliquaient des pipelines de formation personnalisés et un accès inapproprié à des modèles d’IA affinés. La récurrence des échecs liés à la gestion des privilèges suggère un modèle structurel dans la conception des plateformes d’IA gérées, qui, par défaut, ont tendance à accorder des autorisations élevées aux agents internes pour simplifier l’expérience utilisateur.
Alignement avec les directives de l’OWASP
Les risques mis en évidence dans Vertex AI sont en totale conformité avec les nouvelles directives de sécurité pour les systèmes d’IA. En décembre 2025, la fondation OWASP, référence mondiale en matière de sécurité applicative, a publié le « Top 10 des applications agentiques », une liste des principaux risques des systèmes autonomes.
La catégorie ASI03, « Abus de Identidade et le cadre sert de guide essentiel aux organisations pour évaluer les risques inhérents aux plates-formes telles que Vertex AI et mettre en œuvre des défenses appropriées.
Mesures d’atténuation et recommandations de sécurité
Les experts en sécurité cloud recommandent aux entreprises utilisant l’IA Vertex de ne pas attendre les changements de plate-forme et de mettre en œuvre immédiatement des contrôles compensatoires. La première action doit être un audit approfondi de toutes les identités de service associées aux charges de travail d’IA.
Il est essentiel de traiter les agents de service comme des comptes hautement privilégiés, en appliquant une surveillance spécifique pour détecter les modèles d’utilisation pouvant indiquer une manipulation ou un abus. Isso inclut la configuration d’alertes pour les comportements anormaux qui s’écartent du profil attendu d’une opération automatisée.
D’autres mesures importantes consistent à réduire la portée de l’authentification entre les différents composants du cloud lorsque cela est possible et à introduire des barrières de sécurité plus strictes pour protéger les actifs les plus critiques. La segmentation des ressources sensibles en projets distincts ou en réseaux virtuels peut limiter la portée d’un attaquant.
Examiner périodiquement les autorisations par défaut accordées par la plateforme est une pratique essentielle d’hygiène de sécurité. Même si ces actions peuvent augmenter la complexité et les coûts opérationnels, elles sont cruciales pour limiter le rayon d’explosion d’un incident et garantir un contrôle efficace des identités invisibles opérant dans l’environnement.
Le dilemme de la responsabilité partagée
L’évolution accélérée des outils d’IA nécessite une adaptation constante des stratégies de défense. Provedores et ses clients partagent la responsabilité de la sécurité des composants internes, et une confiance aveugle dans les configurations par défaut des fournisseurs gérés expose les organisations à des failles de sécurité critiques dans les environnements cloud modernes.
