Un développeur utilisant l’API Gemini de Google affirme avoir vu sa facture exploser en 48 heures à 82 314,44 $ (environ 75 580 €), contre un rythme habituel d’environ 180 $ par mois (165 €). Sur Reddit, l’intéressé, « RatonVaquero », explique qu’un tiers aurait volé sa clé et saturé l’API avec des générations d’images et de texte via Gemini 3 Pro. Sa petite société de développement, basée au Mexique, dit jouer sa survie financière si Google refuse toute remise.
Un pic d’usage hors norme, une responsabilité disputée
Selon les échanges rapportés, le support de Google renvoie aux obligations contractuelles de sécurisation côté client : gestion des identités et des accès, protection des clés, politiques réseau et 2FA. Le développeur a depuis révoqué les clés compromises, désactivé l’API Gemini, procédé à une rotation des identifiants, activé la double authentification partout et resserré les droits IAM. Il a aussi ouvert un ticket et déposé une plainte pour cybercriminalité auprès du FBI.
Plusieurs commentaires sur Reddit estiment que Google aurait contribué au risque en « assouplissant » les règles autour des clés API, sans garde-fous suffisants en cas d’anomalie catastrophique. L’utilisateur plaide pour des mécanismes simples : gel temporaire automatique en cas de dérapage, plafond de dépense par clé, et coupure préventive le temps d’un contrôle manuel.
Des garde-fous hétérogènes selon les offres
Les limites actuelles varient nettement selon le produit. Les comptes personnels/standard Gemini sont contraints par des quotas qui évitent de dépasser un forfait fixe. Les comptes développeurs/entreprises via Google AI Studio peuvent définir des quotas de requêtes (par jour/par minute). Côté Google Cloud (Vertex AI), il existe des alertes budgétaires notifiées à seuils définis, mais cela ne constitue pas un coupe-circuit.
Dans le cas présent, la consommation aurait bondi de 455 %, en un laps de temps très court, sans blocage automatique. Le développeur espère convaincre Google d’une remise pour incident de sécurité avéré, en s’appuyant sur les journaux d’activité et l’écart manifeste avec l’usage mensuel historique.
Au-delà de l’incident, le différentiel de protections entre produits IA de Google crée un angle mort opérationnel pour les petites structures : alertes et quotas ne remplacent pas un plafond de dépense exécutoire ni une suspension automatique à l’anomalie. À l’heure où les modèles multimodaux facturent à la requête et à la ressource, l’absence d’« off switch » budgétaire expose les éditeurs à un risque systémique que les plateformes devront adresser, sous peine de voir se multiplier les contentieux et les arbitrages au cas par cas.
Source : ITHome
