Vibe coding et fuites de données : des apps exposent des infos Le vibe coding accélère le déploiement d'apps web, mais expose des données sensibles si les garde-fous manquent. Le vibe coding accélère le déploiement d'apps web, mais la sécurité reste faible.
Le vibe coding accélère le déploiement d'apps web, mais la sécurité reste faible. Une étude sur des milliers d'apps révèle des fuites de données et risques.
Ce que révèle l’enquête sur le vibe coding
Le vibe coding permet de décrire une application et de l’héberger sur une plateforme sans nécessiter de compétences techniques avancées. Des outils comme Lovable, Replit, Base44 et Netlify servent de places de marché où une URL suffit pour accéder à l’application. Red Access, société spécialisée dans la sécurité dans le nuage, a analysé des milliers d’apps générées avec ces outils et a constaté que plus de 5 000 d’entre elles ne présentent aucune authentification ni mécanisme de sécurité robuste.
Environ 40 % des web apps examinées exposent des données sensibles, des documents internes ou des historiques de conversations entre clients et chatbots. Dor Zvi, cofondateur de Red Access, décrit le phénomène comme l’un des plus importants risques de fuite de données via des apps vibe-codées.
Des organisations se retrouvent à divulguer des données privées via des applications créées avec le vibe coding. C’est l’un des plus grands cas de fuite où des personnes exposent des informations d’entreprise ou d’autres données sensibles à n’importe qui dans le monde.
Parmi les cas relevés par l’équipe, on trouve des plannings d’hôpitaux avec des informations personnelles sur des médecins, des historiques d’achats publicitaires, des présentations de lancement commercial et même des registres de cargaisons d’une société de transport. Selon Red Access, dans certains scénarios, un administrateur aurait pu gagner des privilèges et supprimer des comptes administrateurs à distance.
Comment fonctionnent ces plateformes et qui est responsable
Les plateformes de vibe coding permettent aux utilisateurs d’héberger des apps directement sur leurs propres domaines. Pour repérer ces applications en ligne, les chercheurs se sont appuyés sur des moteurs de recherche comme Google ou Bing, ce qui a aussi permis de mitiger, mais aussi d’identifier des sites d’hameçonnage reproduisant ceux des grandes entreprises et hébergés sur Lovable.
Amjad Masad, directeur général de Replit, reconnaît que certains utilisateurs publient des applications publiques alors que les paramètres de confidentialité peuvent être modifiés d’un seul clic. Replit a annoncé, le 6 mai, que tous les utilisateurs — gratuits comme payants — peuvent publier leurs apps en mode privé, une fonctionnalité qui était auparavant limitée aux clients Pro et Enterprise. Cette initiative vise à renforcer les garde-fous sans bloquer la créativité des développeurs.
- Exposition contrôlée par l’utilisateur : la publication publique est un choix, et les paramètres peuvent être ajustés pour limiter l’accès.
- Rôle des plateformes : les éditeurs insistent sur la responsabilité des créateurs dans la configuration des applications.
- améliorations requises : des mécanismes de sécurité plus stricts et des audits réguliers restent nécessaires pour prévenir les fuites massives.
Contexte, limites et ce qu’on ne sait pas encore
Lovable et Base44 rappellent que leurs outils offrent des garde-fous, mais que la manière dont une application est configurée dépend du créateur. Dor Zvi souligne que « n’importe qui dans une entreprise peut générer une application à tout moment, sans passer par un cycle de développement standard ni par le moindre contrôle de sécurité ». Même avec des outils pro, la sécurité ne peut être garantie sans une vigilance active des utilisateurs et des équipes IT. Les plateformes, pour leur part, doivent intensifier les garde-fous et rendre plus transparentes les options de confidentialité.
Pour terminer
Le vibe coding offre une porte d’entrée rapide vers le déploiement d’apps web, mais il ne suffit pas d’un simple clic pour garantir la confidentialité des données. Les plateformes doivent améliorer leurs contrôles et les entreprises doivent adopter des pratiques de sécurité dès la conception. À suivre : l’équilibre entre rapidité de développement et protection des données dans un paysage où l’accès public peut être une décision dangereuse si elle n’est pas maîtrisée.
