Les outils de codage par IA ont rendu la création d’applications Web presque instantanée. En quelques prompts, des plateformes comme Lovable, Replit, Base44 ou Netlify permettent de générer un prototype fonctionnel, de le connecter à des données et de le publier en ligne.
Mais, cette simplicité a un revers. Selon une enquête de WIRED, des milliers d’applications créées de cette manière seraient accessibles publiquement sans véritable sécurité ni authentification.
Plus de 5 000 apps mal protégées
Le chercheur en sécurité Dor Zvi et son équipe chez RedAccess ont analysé des milliers d’applications « vibe-coded ». Ils en auraient identifié plus de 5 000 avec peu ou pas de protection.
Certaines pouvaient être ouvertes simplement en connaissant la bonne URL. D’autres acceptaient une connexion avec n’importe quelle adresse e-mail.
Le plus inquiétant : près de la moitié de ces applications semblaient contenir des données sensibles, allant de dossiers médicaux à des documents financiers, en passant par des présentations internes, des stratégies commerciales ou des conversations clients issues de chatbots.
Le nouveau problème du shadow IT
Le danger ne vient pas seulement des outils eux-mêmes, mais de leur usage. Un employé marketing, un fondateur ou un membre d’une équipe opérationnelle peut désormais créer une application interne sans passer par les équipes IT ou sécurité. Si cette app est connectée à de vraies données et publiée sans contrôle, elle peut devenir une fuite massive en quelques minutes.
Le phénomène rappelle les anciens scandales liés aux buckets Amazon S3 mal configurés : une erreur de paramétrage suffit à exposer des informations critiques.
L’IA ne sécurise pas ce qu’on ne lui demande pas
Le problème central est simple : beaucoup d’outils d’IA exécutent ce qu’on leur demande, mais n’ajoutent pas forcément une sécurité robuste par défaut. Si l’utilisateur ne demande pas explicitement une authentification, une gestion des rôles, un chiffrement ou des restrictions d’accès, l’application générée peut rester dangereusement ouverte.
Dans un contexte professionnel, cette logique est explosive. La rapidité devient alors un risque, surtout lorsque personne ne relit le code, ne teste les permissions ou ne vérifie l’exposition des données.
Les plateformes renvoient la responsabilité aux utilisateurs
Replit a indiqué que certaines apps publiques étaient accessibles parce que les utilisateurs les avaient publiées ainsi. Lovable dit enquêter sur les signalements de données exposées et de phishing. Wix, maison mère de Base44, affirme que sa plateforme propose des contrôles de sécurité et que l’accès public dépend des choix de configuration.
Autrement dit, les plateformes insistent sur un point : publier une app sur le web implique une responsabilité utilisateur.
Le vibe coding entre dans son âge adulte
Le « vibe coding » a ouvert une nouvelle ère de création logicielle. Il permet de prototyper plus vite, d’expérimenter davantage et de démocratiser le développement. Mais, cette révolution ne peut pas reposer uniquement sur la vitesse.
À mesure que ces apps passent du prototype au produit réel, la sécurité doit redevenir centrale. Une application générée en dix minutes peut résoudre un problème. Elle peut aussi exposer toute une entreprise.
