Les sites créés par des plateformes AI contiennent des données sensibles exposées — étude de RedAccess

Les plateformes de création de sites web alimentées par l'IA — Lovable, Base44, Replit, Netlify — promettent de transformer n'importe qui en développeur en quelques secondes. Mais l'analyse de RedAccess, un spécialiste en cybersécurité, a révélé un problème massif : des milliers de sites web déployés ont des mots de passe, des clés API et d'autres données confidentielles ouvertement accessibles.

Ampleur des fuites : des milliers de sites compromis

La plateforme Lovable seule héberge plus de 20 000 sites web publics. Lorsque les chercheurs de RedAccess ont analysé une portion significative des projets, un problème systématique et grave a émergé : les utilisateurs saisissent fréquemment des informations confidentielles dans les prompts, qui se retrouvent ensuite dans le code généré. Ils ne réalisent souvent pas que les données laissées dans des exemples, des commentaires ou même collées accidentellement depuis le presse-papiers seront visibles pour quiconque ouvre le code source du site. Le problème est aggravé par le fait que les plateformes publient spécifiquement les sites via des URL publiques, et le code source est souvent directement accessible via l'outil d'affichage du code source du navigateur.

RedAccess a trouvé ouvertement exposés :

• Mots de passe et tokens API dans le code source
• Clés pour les services cloud (AWS, Google Cloud, Azure)
• Adresses e-mail et numéros de téléphone mobile des employés
• Liens vers des panneaux d'administration internes et des services
• Vidages de bases de données contenant des informations personnelles de clients
• Identifiants SSH et mots de passe pour l'accès à distance aux serveurs

Les plateformes transfèrent la responsabilité aux utilisateurs

Les développeurs de Lovable, Base44, Replit et Netlify adoptent une position unifiée : ils fournissent des outils, et les utilisateurs sont responsables du contenu qu'ils y introduisent. D'un point de vue formel, c'est juste — tout comme un fabricant de couteaux n'est pas responsable si quelqu'un se coupe avec un couteau. Mais les experts en sécurité soulignent une distinction critique : ces plateformes sont explicitement conçues et commercialisées pour les personnes sans expérience en codage.

Lorsqu'un système est orienté vers les débutants qui, par définition, ne savent pas ce qu'est une clé API et pourquoi elle ne doit pas rester dans le code, le développeur doit soit ajouter un avertissement très important, soit intégrer un scanning automatique et un blocage des données sensibles avant la publication.

« Les plateformes sont conçues pour les gens qui ne connaissent pas les bases de la sécurité de l'information.

Lorsqu'un système est créé pour eux, le créateur a la responsabilité de la protection basique », déclare la recherche RedAccess.

Ce que cela signifie pour l'industrie

Les générateurs de code IA reformulent littéralement le paysage du développement web : ils sont des ordres de grandeur moins chers et plus rapides que d'engager un développeur expérimenté. Mais ils créent une nouvelle catégorie de problèmes de sécurité que la génération précédente de développeurs n'avait tout simplement pas anticipée. Pour les entreprises utilisant de tels services, le conseil est simple : si vous utilisez Lovable, Replit ou des plateformes similaires, vérifiez le code généré avant de le déployer en production. Ne passez jamais de vrais mots de passe, clés API ou accès à des données confidentielles aux systèmes d'IA. Utilisez à la place des valeurs fictives fixes.

Pour les plateformes elles-mêmes, c'est une fenêtre d'opportunité. La première entreprise à ajouter un scanning de code automatique intégré pour les fuites de données et un blocage du déploiement lorsque des informations sensibles sont détectées obtiendra un énorme avantage concurrentiel sous la forme de la confiance des clients corporatifs et gouvernementaux. Et RedAccess ne sera qu'une histoire — sur le moment où l'industrie était encore insouciante.