Une clé API Google Gemini d'un développeur a été volée, générant plus de 80 000 dollars de frais en 48 heures

IT之家, le 4 mars, rapporte que, selon Tom’s Hardware, un utilisateur de Google Gemini a publié sur Reddit qu’il était « sous le choc et en état de panique », le problème étant lié à la facture récente reçue par sa société de développement logiciel.

Cet utilisateur Reddit, RatonVaquero, dépensait habituellement seulement 180 dollars par mois pour le service Gemini AI (note d’IT之家 : taux de change actuel d’environ 1245 RMB). Cependant, en seulement 48 heures le mois dernier, son compte a accumulé des frais de 82 314,44 dollars (environ 569 000 RMB au taux actuel).

Quelqu’un a piraté son compte, lançant de manière folle de nombreuses requêtes avec Gemini 3 Pro pour générer une grande quantité d’images et de textes. Si Google refuse d’annuler ces coûts exorbitants causés par une clé API apparemment volée, cette entreprise risque la faillite.

Cependant, il était déjà trop tard. RatonVaquero a maintenant pris une série de mesures correctives : suppression de la clé compromise, désactivation de l’API Gemini, rotation des credentials, activation de la double authentification sur toutes les plateformes, restriction stricte des permissions IAM, et soumission d’un ticket de support. Mais d’après la réponse initiale du service client de Google, il est fort probable que ces frais restent à la charge de l’utilisateur.

D’après les échanges entre cet utilisateur et Google, il semble que la société va probablement rejeter la responsabilité en se basant sur le contrat qui exige que l’utilisateur gère lui-même la vérification d’identité, la stratégie d’accès, la sécurité réseau, et la protection de la clé API. De nombreux internautes sur Reddit soulignent que l’origine du problème pourrait venir de Google lui-même, qui aurait assoupli ses règles de confidentialité des clés API, permettant ainsi aux voleurs d’en profiter.

En tant que l’un des trois développeurs de la société mexicaine de développement logiciel affectée, RatonVaquero implore Google de « faire preuve de clémence » et se plaint que Google n’a même pas mis en place des mesures de base pour faire face à des usages anormaux et catastrophiques.

L’augmentation du coût mensuel de 180 dollars à plus de 82 000 dollars en seulement 48 heures est en effet extrêmement anormale.

Il indique également que Google devrait offrir des services de suspension temporaire pour vérification, ainsi que la possibilité de fixer une limite de consommation par API.

Après enquête sur cet incident de facture astronomique, on peut constater que :

Les utilisateurs individuels / utilisateurs ordinaires de Gemini ont une limite d’utilisation, ils ne dépassent pas leur abonnement mensuel fixe ;

Les développeurs / utilisateurs de Google AI Studio en version commerciale peuvent définir des quotas (limiter le nombre de requêtes par jour / par minute) ;

Les utilisateurs de Google Cloud (Vertex AI) peuvent configurer des alertes de budget, qui envoient une notification lorsque le montant fixé est atteint.

RatonVaquero indique qu’il reprendra prochainement contact avec le support Google et a déjà déposé une plainte pour cybercriminalité auprès du FBI. Il ne peut pour l’instant qu’espérer une attitude plus conciliante de Google. Il prévoit de fournir des logs montrant une augmentation de 455 fois de l’utilisation pour demander une réduction de bonne foi en tant que victime d’un incident de sécurité informatique.