# Applications Web pilotées par l'IA : un cauchemar de sécurité ? Alors que l'IA continue de s'infiltrer dans la programmation moderne, des préoccupations ont été soulevées quant à l'introduction de bugs exploitables par des outils de codage automatisés. Cependant, une enquête récente révèle un problème plus alarmant : les outils de développement d'applications web alimentés par l'IA permettent la création d'applications pratiquement sans sécurité, exposant potentiellement des données d'entreprise et personnelles sensibles. Le chercheur en sécurité Dor Zvi et son équipe chez **RedAccess** ont analysé des milliers d'applications web créées à l'aide d'outils de développement logiciel IA tels que **Lovable**, **Replit**, **Base44** et **Netlify**. Leurs conclusions sont frappantes : plus de 5 000 de ces applications manquaient de sécurité ou d'authentification de base. Beaucoup permettaient un accès illimité à quiconque découvrait l'URL web, tandis que d'autres présentaient des barrières minimales comme l'exigence d'une connexion avec n'importe quelle adresse e-mail. Un nombre stupéfiant de 40 % de ces applications exposaient des données sensibles, notamment des dossiers médicaux, des informations financières, des documents de stratégie d'entreprise et des journaux de conversation de chatbots. « Le résultat final est que les organisations fuient en réalité des données privées via des applications de 'vibe-coding' », déclare Zvi. « C'est l'un des plus grands événements jamais enregistrés où les gens exposent des informations d'entreprise ou d'autres informations sensibles à n'importe qui dans le monde. » ## Découverte facile des vulnérabilités La recherche d'applications web vulnérables par **RedAccess** s'est avérée étonnamment simple. Comme **Lovable**, **Replit**, **Base44** et **Netlify** permettent aux utilisateurs d'héberger des applications sur leurs domaines, les chercheurs ont utilisé de simples recherches Google et Bing, combinant les domaines des entreprises d'IA avec des mots-clés pertinents pour identifier des milliers d'applications codées par IA. Sur les 5 000 applications codées par IA accessibles publiquement, près de 2 000 ont révélé des données privées après une inspection plus approfondie. Les exemples comprenaient des affectations de travail hospitalières avec des informations personnellement identifiables, des détails d'achat de publicité d'entreprise, des présentations de stratégie de mise sur le marché, des journaux de conversation de chatbots de détaillants (y compris les noms et coordonnées des clients), des registres de fret et divers registres de ventes et financiers. Dans certains cas, les applications exposées accordaient même des privilèges administratifs, permettant aux chercheurs de supprimer potentiellement d'autres administrateurs. **Lovable** hébergeait également de nombreux sites de phishing imitant de grandes entreprises comme **Bank of America**, **Costco**, **FedEx**, **Trader Joe’s** et **McDonald’s**, créés avec l'outil de codage IA. ## Réponses des entreprises et contre-arguments Contactés par WIRED, **Netlify** n'a pas répondu. **Replit**, **Lovable** et **Base44** ont contesté les conclusions, invoquant un manque d'informations partagées et un temps de réponse insuffisant. Cependant, ils n'ont pas nié l'exposition des applications web. Le PDG de **Replit**, Amjad Masad, a déclaré sur X : « D'après les informations limitées qu'ils ont partagées, la principale affirmation de [RedAccess] semble être que certains utilisateurs ont publié des applications sur le web ouvert qui auraient dû être privées. Replit permet aux utilisateurs de choisir si les applications sont publiques ou privées. L'accessibilité des applications publiques sur Internet est un comportement attendu. Les paramètres de confidentialité peuvent être modifiés à tout moment en un seul clic. » **Lovable** a déclaré qu'ils prenaient au sérieux les rapports de données exposées et de sites de phishing et qu'ils enquêtaient activement. Ils ont souligné que **Lovable** fournit des outils pour construire en toute sécurité, mais que la configuration de l'application relève de la responsabilité du créateur. Blake Brodie, responsable des relations publiques de la société mère de **Base44**, **Wix**, a déclaré que **Base44** fournit des outils robustes pour configurer la sécurité des applications, y compris les contrôles d'accès et les paramètres de visibilité. La désactivation de ces contrôles est une action délibérée de l'utilisateur, et non une vulnérabilité de la plateforme. **Wix** a également soulevé des préoccupations quant à la validité des données, suggérant que les données exposées pourraient être des espaces réservés ou des preuves de concept générées par IA. **RedAccess** a réfuté les affirmations selon lesquelles ils n'avaient pas fourni d'exemples à **Base44**, notant qu'ils avaient contacté des propriétaires d'applications qui ont confirmé l'exposition des données. Ils ont également partagé des communications anonymisées d'utilisateurs de **Base44** les remerciant pour les alertes. ## Les implications plus larges La vérification de l'authenticité des données exposées reste un défi. Joel Margolis, un chercheur en sécurité, note que les données dans les applications web codées par « vibe » pourraient être des espaces réservés ou des preuves de concept. Cependant, il affirme que le problème des applications web construites par IA exposant des données est très réel. Il souligne que les équipes marketing ou d'autres non-ingénieurs créant des sites web manquent souvent des connaissances nécessaires en matière de sécurité. Zvi souligne que les 5 000 applications exposées ne sont que celles hébergées sur les domaines des outils de codage IA, avec potentiellement des milliers d'autres hébergées sur des domaines achetés par les utilisateurs. Il établit un parallèle avec la vague d'expositions de données causée par des buckets de stockage **Amazon S3** mal configurés, où des entreprises comme **Verizon** et **World Wrestling Entertainment** ont accidentellement exposé des données sensibles. Bien que l'erreur de l'utilisateur ait joué un rôle, beaucoup ont blâmé **Amazon** pour des paramètres de sécurité confus. Les outils de codage d'applications web IA créent une vague similaire d'expositions de données en raison d'erreurs d'utilisation et d'un manque de garde-fous. Plus fondamentalement, ces outils permettent à des individus ayant une faible conscience de la sécurité de créer des applications en dehors des processus de développement logiciel typiques. « N'importe qui dans votre entreprise peut générer une application à tout moment, et cela ne passe par aucun cycle de développement ni aucun contrôle de sécurité », dit Zvi. « Les gens peuvent simplement commencer à l'utiliser en production sans demander la permission. Et ils le font. »