Les clés API Google que vous collez dans votre JavaScript pour afficher une carte Maps... hé bien elles ne sont plus si inoffensives. Car depuis que Gemini est entré dans la danse, ces mêmes clés donnent maintenant accès à vos fichiers privés et surtout à votre facture IA.

Et personne ne nous a prévenu...

En gros, Google utilise un format de clé unique, les fameuses AIza..., aussi bien pour Maps et Firebase (public, collé dans le HTML, tout le monde s'en fout) que pour Gemini (privé, accès aux fichiers, facturation). Le problème c'est que quand vous activez l'API Gemini sur un projet Google Cloud, TOUTES les clés existantes de ce projet héritent automatiquement de l'accès Gemini. Sans warning, sans notification, sans rien... Ouin !

Les chercheurs de TruffleSecurity ont ainsi trouvé presque 3000 clés API Google valides dans le dataset Common Crawl de novembre 2025. Des clés qui trainent dans du code JavaScript, des pages HTML, des repos GitHub publics... et qui fonctionnent sur l'endpoint Gemini. Il suffit d'un simple curl avec une clé Maps récupérée sur un site web, et hop, vous accédez à l'API Gemini du propriétaire. Fichiers privés, contenu en cache, facturation sur son compte.

Et parmi les victimes, on trouve des institutions financières, des boîtes de cybersécurité, et... Google eux-mêmes (oui oui, vraiment).

Le 21 novembre 2025, TruffleSecurity signale donc le problème et la réponse de Google le 25 novembre c'est : "intended behavior" (comportement normal)... Sauf que le 2 décembre, Google a reclassifié ça en bug, puis le 13 janvier 2026, ça passe finalement en Tier 1. On est donc passé du "c'est normal les frérots" à "ah oui quand même, oupsi oups", en 7 semaines.

Maintenant, pour ceux qui se demandent si leurs clés API Google sont concernées, direction console.cloud.google.com , section "APIs & Services" puis "Identifiants".

Si vous voyez l'API " Generative Language " de Gemini API activée sur un projet avec des clés non restreintes... attention, c'est le moment de faire le ménage. Ajoutez des restrictions IP ou HTTP referrer, et surtout, utilisez des comptes de service plutôt que des clés API pour tout ce qui touche à Gemini (sauf si vous aimez les surprises sur votre facture ^^).

Le truc tordu, c'est que la doc Firebase dit noir sur blanc que les clés API ne sont pas des secrets. Google Maps vous dit carrément de les coller dans votre HTML. Et maintenant, ces mêmes clés donnent accès à une IA qui peut lire vos fichiers. Du CWE-1188 pur et dur ! Et c'est pas la première fois que Google se fait taper sur les doigts pour ce genre de souci avec Gemini .

Du coup, Google a annoncé des nouvelles mesures, du scoped defaults, du blocage de clés fuités, des notifications proactives...etc. Reste donc à voir si ça arrivera avant que les presque 3000 clés exposées soient exploitées par des gens moins bien intentionnés.

Bref, dix ans à dire que c'est public, et hop, aujourd'hui c'est devenu top secret. Bien joué Google !!

Source

Quentin, fidèle lecteur de Korben, développe en solo depuis presque un an un outil qui va parler à tous ceux qui cherchent un appart ou une maison et qui en ont marre de jongler entre quinze onglets pour avoir une vision claire d'un quartier.

1dex.fr c'est une plateforme qui agrège un paquet de données géographiques et immobilières sur n'importe quelle adresse en France. Prix de vente au m², transactions DVF, permis de construire, qualité de l'eau, pollution de l'air, travaux à proximité, écoles... Le tout sur une interface cartographique plutôt bien foutue.

Concrètement, vous entrez une adresse, vous cliquez sur "Analyser cette zone" et hop, la carte se remplit de données. On peut alors visualiser les parcelles alentours, voir les dernières ventes, repérer les chantiers en cours, et même afficher les immeubles avec syndic de copropriété. Y'a même un système de calques pour switcher entre fond de carte classique, vue satellite ou mode sombre.

Perso j'aime bien ce genre d'outil qui met la data à portée de main sans avoir besoin de fouiller data.gouv.fr pendant des heures.

Son modèle est freemium mais rassurez-vous, l'essentiel est gratuit avec une limite journalière d'analyses. Si vous dépassez, soit vous revenez le lendemain, soit vous passez à la caisse pour un accès intensif. Quentin bosse aussi sur une API pour les pros et une extension navigateur qui ajoutera les données 1dex directement sur les annonces immo. Pas mal pour éviter les mauvaises surprises avant même de visiter !

Voilà si vous êtes en recherche de logement ou juste curieux de savoir ce qui se passe autour de chez vous, ça vaut le coup d'œil -> 1dex.fr

Et bravo à Quentin !