Les constructeurs d'applications AI ont publié des milliers d'apps avec des fuites de données

Les plateformes comme Lovable, Base44, Replit et Netlify utilisent l'IA pour permettre à quiconque, même sans compétences en programmation, de créer des applications web entièrement fonctionnelles en quelques secondes. Mais les chercheurs de Wired ont découvert une faille dans cette utopie : des milliers d'applications contenant des données confidentielles critiques sont exposées sur internet — clés API, mots de passe, jetons d'autorisation. Et personne ne fait rien à ce sujet.

Comment Fonctionnent les Constructeurs d'IA

Les services comme Lovable et Base44 sont construits sur de grands modèles de langage comme GPT-4. Un développeur décrit simplement ce dont il a besoin : « Fais-moi une application de suivi des dépenses avec intégration Stripe ». En quelques secondes, le système génère un composant React complet ou une application Vue avec frontend et logique. Le projet peut alors être publié immédiatement via Netlify en un clic ou hébergé sur Replit. C'est révolutionnaire pour la vitesse de développement. Généralement, un MVP nécessite des semaines ou des mois de travail. Ici — des heures, parfois des minutes. Il n'est pas surprenant que des centaines de milliers de développeurs aient commencé à utiliser ces services.

Ampleur du Problème

Wired a décidé de vérifier ce qui se retrouve en accès libre. Les chercheurs ont analysé des milliers d'applications créées sur ces plateformes et publiées sur internet ouvert. Le résultat était alarmant : une part importante contenait des clés API, des mots de passe de base de données et d'autres données confidentielles. Ce ne sont pas des cas isolés de négligence. C'est un problème systémique : les plateformes n'ont aucun mécanisme pour prévenir les fuites. Quand le code est généré automatiquement et publié en un clic, le processus d'examen de sécurité disparaît tout simplement.

Quelles Données S'échappent

• Clés API de services tiers — OpenAI, Stripe, AWS, Google Cloud, Twilio. Toutes se trouvent dans du code JavaScript côté client, disponible au téléchargement pour n'importe qui.
• Mots de passe de base de données — identifiants pour MongoDB, PostgreSQL, MySQL souvent non cryptés et visibles dans le code source de l'application.
• Jetons d'autorisation et cookies de session — avec lesquels on peut intercepter les comptes d'autres personnes.
• Clés de chiffrement privées — utilisées pour protéger les données des utilisateurs.
• IDs internes et architecture — même si individuellement sécurisés, ensemble ils révèlent la structure de l'application pour les attaques.

Quand les chercheurs ont trouvé ces clés, ils ont pu accéder aux comptes des utilisateurs et aux données. De plus — les bots qui scrutent constamment internet à la recherche de telles fuites les trouvent déjà automatiquement.

Pourquoi Cela Arrive

La raison principale est simple : la vitesse de développement ne laisse pas de temps à la sécurité. Quand un MVP peut être créé en 10 minutes, il n'y a pas d'examen de code, pas de vérification des vulnérabilités, pas de processus standard. Sur les grands projets, cela aurait été détecté.

La deuxième raison — les plateformes elles-mêmes ne font rien. Elles n'avertissent pas le développeur qu'une clé API a été trouvée dans le code. Il n'y a pas de nettoyage automatique des données sensibles.

Aucune suggestion : « Assurez-vous d'avoir supprimé tous les mots de passe avant la publication ». Juste publier — et voilà. La troisième raison — les développeurs ne sont pas formés.

Une personne qui ne savait pas coder hier crée une application avec une vraie logique aujourd'hui. Personne ne lui a expliqué les règles de base de la sécurité.

Ce Que Cela Signifie

C'est un cas classique de démocratisation qui n'a pas tout à fait bien tourné. Les outils permettent vraiment à plus de personnes de créer. Mais en même temps, le champ des erreurs s'élargit. Pour les entreprises — si vous utilisez ces plateformes pour des applications en production, créer du code ne suffit pas. Assurez-vous de vérifier manuellement les fuites avant la publication. Cherchez les clés API dans la source, les mots de passe dans les configs, les données privées dans les journaux. Pour les plateformes elles-mêmes — c'est un moment critique. Elles ont besoin de vérifications de sécurité intégrées, d'avertissements quand des clés sont détectées, peut-être même d'un refus de publication. Sinon, la réputation en souffrira.