Technologie

Un balayage de 380 000 applis construites avec l’IA en trouve des milliers sans aucune authentification

Un balayage de 380 000 applis construites avec l’IA en trouve des milliers sans aucune authentification
Susan Hill
8 mai 2026 - 18:46

Le pitch du vibe-coding depuis 2023 a toujours été le même — n’importe qui peut construire une appli. Un nouveau balayage de RedAccess livre le premier reçu chiffré. Sur environ 380 000 applications web construites avec des outils de codage assistés par IA et déployées via des services comme Netlify, environ 5 000 n’avaient aucun type d’authentification. Environ 40 pour cent de ces applis non protégées stockaient des données sensibles — informations utilisateurs, journaux de conversation, données de paiement, identifiants internes. Les chiffres ont atterri cette semaine chez WIRED, Axios et Security Boulevard, et ils décrivent une catégorie de défaillance que l’industrie accumule en silence depuis deux ans.

Les générateurs nommés sont les plateformes que n’importe quel non-développeur connaît déjà. Lovable, Replit, Base44 et l’écosystème plus large des outils « construire à partir d’un prompt » vendent depuis toujours la même promesse implicite — l’IA ne remplace pas seulement la frappe du code, elle remplace aussi l’ingénieur qui devrait surveiller. On choisit un prompt, on regarde l’appli apparaître, on l’envoie en production via Netlify ou Vercel, on partage le lien. Ce que le balayage de RedAccess documente, c’est ce qui est passé en production sans que personne dans cette boucle n’ait demandé si l’appli avait besoin d’une serrure.

Les vulnérabilités ne sont pas subtiles. Les applis non protégées n’exigeaient pas un attaquant habile — il suffisait d’un navigateur. Beaucoup se déployaient avec des clés Supabase ou Firebase incrustées directement dans le bundle client, ce qui signifie qu’un curieux peut lire la base de données. Certaines accordaient un accès en écriture sur la même base, ce qui permet à un inconnu d’éditer les enregistrements de vos utilisateurs. Quelques-unes exposaient des endpoints d’administration. La catégorie de la faille n’est pas un zero-day ni un cas limite mal configuré. C’est l’absence complète de la couche de sécurité.

PieX dévoile le premier pendentif de suivi des émotions par IA au CES 2025

Le scepticisme est de mise, car la tentation de blâmer les outils est grande et n’est qu’à moitié juste. Un développeur junior construisant la même appli sans supervision livrerait quelque chose d’équivalent. La différence est le volume. Les outils de vibe-coding abaissent le plancher au point que le nombre total d’applis déployées par des gens incapables de raisonner seuls sur l’authentification a explosé. Les outils peuvent techniquement proposer un scaffolding d’authentification, mais le flux par défaut ne l’impose pas, et les utilisateurs qui profitent le plus de ces outils sont précisément ceux qui sont le moins équipés pour remarquer son absence. Lovable a indiqué travailler à activer par défaut un scaffolding d’authentification. Replit a renvoyé à ses paramètres de sécurité existants tout en reconnaissant que les utilisateurs peuvent les désactiver. Base44 n’a pas commenté publiquement. Les plateformes réagissent — la question est de savoir si la réaction avance plus vite que la courbe de déploiement.

La lecture structurelle est plus dure à avaler. Pendant deux ans, l’industrie a vendu le retrait de la relecture professionnelle du pipeline de déploiement comme un bénéfice, pas comme un coût. Les données de RedAccess montrent à quoi ce retrait ressemble à l’échelle. Les applis fonctionnent pour l’utilisateur qui les a construites et elles fonctionnent aussi pour quiconque trouve l’URL. Les deux prochaines années seront probablement une accumulation lente d’incidents de ce type, jusqu’à ce que les plateformes imposent l’authentification au niveau du framework par défaut, ou que les régulateurs les y contraignent. Les deux peuvent arriver. Le régime européen de responsabilité du fait des produits est déjà relu pour couvrir les logiciels générés par IA, et les procureurs généraux des États américains commencent à tourner autour.

Ce que les utilisateurs de ces plateformes peuvent faire aujourd’hui est limité. RedAccess a publié des guides pour les quatre outils nommés — vérifier que l’appli exige une connexion avant tout accès aux données, auditer les clés envoyées dans le bundle client, et partir du principe que toute URL partagée est déjà en train d’être balayée par quelqu’un. Les plateformes ont promis des améliorations. Le balayage qui a produit cette histoire a pris quelques jours. Le suivant est déjà en préparation.

Plus comme ceci

L’Opération Nouvel An de Bleach: Brave Souls démarre le 31 décembre !

L’Opération Nouvel An de Bleach: Brave Souls démarre le 31 décembre !

La France impose à 2,5 millions d’agents publics la migration de Windows vers Linux

La France impose à 2,5 millions d’agents publics la migration de Windows vers Linux

L’Oppo Find X9 Ultra embarque un zoom optique 10x et un 300 mm amovible

L’Oppo Find X9 Ultra embarque un zoom optique 10x et un 300 mm amovible

Verse Immersive, le premier théâtre holographique au monde

Verse Immersive, le premier théâtre holographique au monde

‘Redemption Reapers’, le RPG tactique de dark fantasy, sort le 22 février

‘Redemption Reapers’, le RPG tactique de dark fantasy, sort le 22 février

Meridiem annonce l’édition physique de Papetura pour PlayStation 5 et Nintendo Switch

Meridiem annonce l’édition physique de Papetura pour PlayStation 5 et Nintendo Switch

Discussion

Il y a 0 commentaire.