Tech

Vibe coding : 380 000 apps IA exposent vos données sensibles

Stéphane Larue
Publié par
Stéphane Larue
Publié parStéphane Larue
Stéphane Larue est journaliste et éditeur indépendant spécialisé dans l actualité des médias, du divertissement et de la culture numérique. Fondateur du site stephanelarue.com, il assure...
Follow:
7 Min de lecture
Vibe coding : 380 000 apps IA exposent vos données sensibles
Illustration : Stéphane Larue

Une étude publiée par la société israélienne RedAccess sonne l’alarme sur le « vibe coding », ces apps assemblées en quelques clics par des outils d’IA. Près de 380 000 applications construites avec Lovable, Replit, Base44 ou Netlify circulent sans aucune sécurité sur le web ouvert. Et environ 5 000 d’entre elles déversent des données médicales, financières ou stratégiques à la portée du premier curieux.

Par Stéphane Larue

Le constat a été révélé dans une enquête publiée par WIRED et confirmé par Axios. Pendant plusieurs semaines, les chercheurs de RedAccess ont passé au crible les applications hébergées sur les sous-domaines publics de quatre des principaux outils d’IA générative dédiés au développement « no-code ». Le bilan dépasse de loin les craintes initiales du secteur.

Le « vibe coding », l’angle mort de la cybersécurité

Le terme désigne une nouvelle façon de coder : on décrit une idée en langage naturel, l’IA produit le site, la base de données et même l’API. Plus besoin de développeur. Plus besoin, surtout, de comprendre la sécurité.

Résultat : des milliers d’apps en ligne sans authentification, sans chiffrement, sans la moindre règle d’accès. L’IA fait le code, mais elle ne fait pas le RSSI. Les utilisateurs métier qui ont conçu ces outils pour leur service interne ignorent souvent qu’ils viennent de publier leurs fichiers sur Internet.

Mais aussi

Le PDG de Qualcomm prédit la mort du smartphone dès 2028
Le PDG de Qualcomm prédit la mort du smartphone dès 2028

L’équipe de Dor Zvi, fondateur de RedAccess, a procédé en utilisant de simples requêtes Google et Bing ciblées sur les domaines des éditeurs. Aucune intrusion, aucun outil sophistiqué : tout était visible depuis un navigateur.

5 000 apps qui crachent des données critiques

Sur les 380 000 applications cartographiées, environ 5 000 contenaient des données sensibles directement consultables. Selon les exemples documentés par RedAccess et repris par WIRED, on y trouve :

  • les plannings de gardes d’un hôpital, avec noms et coordonnées de médecins
  • la stratégie « go-to-market » d’une entreprise présentée en interne
  • les achats publicitaires détaillés d’un annonceur
  • l’historique complet des conversations entre un site marchand et ses clients
  • les fiches de cargaison d’un transporteur, références logistiques incluses
  • des relevés commerciaux et des documents comptables

Près de 40 % des apps analysées exposaient une donnée critique, du dossier médical au document confidentiel d’entreprise. Le cabinet n’a pas publié les URLs, mais les captures d’écran fournies à la presse parlent d’elles-mêmes. À titre de comparaison, le récent accident d’agent IA qui a effacé une base entière avait choqué le secteur. Cette fois, c’est l’inverse : les données ne disparaissent pas, elles s’affichent.

Mais aussi

GPT-Realtime-2 : OpenAI révolutionne les agents vocaux IA
GPT-Realtime-2 : OpenAI révolutionne les agents vocaux IA

Replit, Wix, Netlify : la défausse

Les éditeurs visés se renvoient la balle. Replit assure n’avoir disposé que de 24 heures avant la sortie médiatique et accuse RedAccess de ne pas avoir transmis la liste des clients concernés. Wix, propriétaire de Base44, parle d’URLs « volontairement masquées » qui empêcheraient toute remédiation. Netlify, lui, n’a pas répondu aux sollicitations.

Aucun acteur ne nie l’existence du phénomène. La question est plutôt : qui doit corriger ? L’éditeur de l’outil ? L’utilisateur qui clique sans lire les avertissements ? Le débat rappelle celui du shadow IT et des bases S3 mal configurées, mais à une échelle inédite.

Une bombe à retardement pour la CNIL

Dans l’Hexagone, le sujet est loin d’être théorique. Le RGPD impose à toute organisation de sécuriser les données personnelles qu’elle collecte, même via un outil tiers. Une PME qui aurait monté un mini-CRM avec Lovable en pensant gagner du temps est, juridiquement, responsable de la fuite. Et les amendes CNIL pour défaut de sécurisation grimpent vite.

La vague de licenciements liée à l’IA dans la tech a déjà fragilisé les équipes sécurité. Et les outils de no-code IA, vendus comme une réponse au manque de développeurs, ouvrent désormais autant de failles qu’ils résolvent de problèmes. Le bon réflexe consiste à durcir les comptes : authentification renforcée, mots de passe uniques, vigilance générale — le déploiement récent du support des YubiKey chez OpenAI va dans ce sens. Côté outils personnels, un comparatif des meilleurs gestionnaires de mots de passe en 2026 reste un investissement minimal mais salutaire. La récente affaire ANTS avait déjà rappelé que la vigilance des éditeurs ne suffit pas.

À retenir

  • 380 000 apps IA exposées sur le web ouvert, selon RedAccess
  • 5 000 apps fuient des données critiques : santé, finance, stratégie
  • Lovable, Replit, Base44 et Netlify mis en cause ; aucun n’a corrigé à ce stade

L’engouement pour le « vibe coding » ne va pas retomber : selon les éditeurs eux-mêmes, des centaines de milliers d’utilisateurs créent chaque semaine de nouvelles applications avec ces outils. La prochaine grande fuite de données, en France comme aux États-Unis, pourrait bien venir d’une app que personne n’aura jamais auditée — parce qu’aucun humain ne l’aura jamais lue.

Mais aussi

iOS 27 : choisissez votre IA sur iPhone entre Gemini et Claude
iOS 27 vous laissera choisir votre IA : Gemini, Claude ou ChatGPT
Les tags:
Partagez cet article
Publié parStéphane Larue
Follow:
Stéphane Larue est journaliste et éditeur indépendant spécialisé dans l actualité des médias, du divertissement et de la culture numérique. Fondateur du site stephanelarue.com, il assure une veille quotidienne sur les sujets d information générale, en s appuyant sur les sources officielles et les communiqués de presse. Il publie également des analyses, des interviews et des sélections éditoriales à destination d un large public.
Dernières actus
Encore plus d'articles
L'IA propulse Samsung à 1 000 milliards de dollars en Bourse
Tech

L’IA propulse Samsung à 1 000 milliards de dollars en Bourse

L'IA supprime 1 100 postes chez Cloudflare en plein record
Tech

L’IA supprime 1 100 postes chez Cloudflare en plein record

Google lance un coach IA santé propulsé par Gemini
Tech

Google lance un coach IA santé propulsé par Gemini

Google I/O 2026 : Gemini 4 et Android 17 au programme
Tech

Google I/O 2026 : Gemini 4 et Android 17 au programme

Google Search IA s'appuie sur Reddit et les forums
Tech

Google Search IA s’appuie sur Reddit et les forums