Il est possible de créer une application web en quelques minutes, sans écrire une seule ligne de code soi-même. Les plateformes de vibe coding comme Lovable, Replit, Base44 ou Netlify ont démocratisé le développement logiciel à une vitesse folle. Le problème, personne ne s’est vraiment demandé qui allait sécuriser tout ça.
Plus de 5 000 applications laissées grandes ouvertes
La société Red Access, spécialisée dans la sécurité cloud, a mené un audit à grande échelle sur des milliers d’applications web générées par IA. Les résultats donnent le vertige.
- Plus de 5 000 d’entre elles ne disposent d’aucune authentification, d’aucun mécanisme de protection digne de ce nom.
- Pour y accéder, il suffit de dénicher l’URL.
- Dans certains cas, une simple recherche sur Google ou Bing mène directement aux données.
Dor Zvi, cofondateur de Red Access, a détaillé ses trouvailles dans une enquête relayée par Wired. Environ 40 % des applications analysées exposent des informations sensibles. La liste fait froid dans le dos.
- Des plannings hospitaliers contenant des données personnelles de médecins.
- Des budgets publicitaires internes.
- Des présentations commerciales confidentielles.
- Des registres de cargaisons d’entreprises de transport.
Dans plusieurs cas de figure, l’équipe de chercheurs aurait pu obtenir les droits administrateurs des applications et supprimer des comptes. Plus inquiétant encore, des sites de phishing qui imitent de grandes entreprises ont été repérés.
📩 L’actu digitale évolue vite. Restez à jour.
Recevez la newsletter quotidienne, gratuitement.
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les plateformes se défaussent, mais les utilisateurs trinquent
Replit, par la voix de son directeur général Amjad Masad, rappelle que des outils de sécurité existent et que rendre une application publique relève d’un choix de l’utilisateur. Lovable tient le même discours. Base44 enfonce le clou en précisant que désactiver les contrôles de sécurité est une action volontaire.
Ces outils attirent par définition des profils non techniques. Des employés qui veulent automatiser un process interne, des entrepreneurs qui testent une idée, des équipes marketing qui montent un formulaire. Leur demander d’auditer la sécurité de leur application revient à exiger d’un conducteur qu’il vérifie lui-même ses freins au démarrage.
Replit a d’ailleurs fini par réagir. Depuis le 6 mai, tous les utilisateurs, gratuits ou payants, sont en mesure de publier leurs applications en mode privé. Il s’agit d’une fonction auparavant réservée aux abonnés Pro et Enterprise.
La vraie menace dépasse les plateformes elles-mêmes
Dans une entreprise, n’importe quel collaborateur peut désormais générer une application en quelques minutes, sans passer par les équipes de développement ni par le moindre audit de sécurité. Dor Zvi prévient que la situation pourrait déboucher sur un flot massif de fuites de données si rien ne change.
Le vibe coding représente une avancée remarquable en matière d’accessibilité. Toutefois, démocratiser la création sans démocratiser la sécurité est problématique. Il existe déjà une masse de vulnérabilités, il n’est pas judicieux d’en ajouter d’autres.