← Retour au blog

4 juillet 2026

Les 5 failles de sécurité qu'on retrouve dans presque toutes les apps vibe-codées

Votre app fonctionne. Des clients la paient. Et si elle a été construite avec Lovable, Bolt, Cursor ou n'importe quel assistant IA, il y a de fortes chances qu'elle partage les mêmes failles que presque toutes les apps que nous scannons. Veracode a trouvé des faiblesses de sécurité dans 45 % des échantillons de code généré par IA — et elles ne sont pas là où on les attend.

1. Des clés API livrées au navigateur

Les assistants IA collent volontiers des clés secrètes dans le code frontend. Tout ce qui se trouve dans votre bundle JavaScript est public : n'importe qui peut ouvrir les outils développeur et lire vos clés OpenAI, Stripe ou base de données. Moltbook a exposé 1,5 million de tokens d'API exactement comme ça. Vérification rapide : ouvrez votre site déployé, affichez le code source et cherchez « sk- » ou « key ».

2. Une base de données ouverte à tous (RLS manquant)

Les apps construites sur Supabase reposent sur le Row Level Security pour décider qui peut lire quelles lignes. Quand le RLS est absent ou mal configuré — le cas d'environ 10 % des apps Lovable analysées — n'importe quel visiteur muni de votre clé publique peut lire toute votre base : utilisateurs, messages, paiements.

3. Des permissions qui n'existent que dans l'interface

Masquer le bouton admin n'est pas du contrôle d'accès. Si l'API derrière accepte les requêtes de n'importe qui, un attaquant n'a pas besoin du bouton. C'est la classe de failles qui progresse le plus vite dans le code assisté par IA : Apiiro mesure +322 % de chemins d'escalade de privilèges. Et c'est invisible en démo — tout a l'air normal jusqu'à ce que quelqu'un d'hostile se présente.

4. Aucun rate limiting nulle part

Des endpoints de connexion qui acceptent des tentatives illimitées, et des endpoints IA que n'importe qui peut marteler à vos frais. Un script, une nuit, et vous récoltez des comptes compromis ou une facture d'API à quatre chiffres.

5. Des données personnelles qui traînent

Buckets de stockage publics, réponses d'API qui renvoient bien plus de champs que l'interface n'en affiche, e-mails et tokens dans les logs. Sous le RGPD, ce n'est pas qu'un problème technique — c'est un problème légal. La fuite de l'app Tea, où des messages privés sont devenus lisibles publiquement, a commencé exactement comme ça.

Rien de tout ça ne condamne votre app

Chacune de ces failles se corrige, presque toujours sans rien reconstruire. Le vibe coding vous a donné un produit et des clients payants — c'était la partie difficile. Le sécuriser est un travail connu et borné. Notre scan gratuit sous 48 h vérifie ces cinq points sur votre app, et on vous dit honnêtement ce qu'on trouve.

Envie de savoir où en est votre app ?

Commencez par le scan gratuit — on vous dira honnêtement ce qu'il vous faut ensuite.

Recevoir mon scan gratuit