Vous pensiez que la démocratisation du code allait enfin libérer les masses ? Raté. Elle a surtout libéré vos mots de passe, vos clés API et vos bases de clients. Bienvenue dans l'ère du vibe-coding, où n'importe quel primate numérique peut pondre une application en 30 secondes — et avec elle, exposer toutes vos données au premier larbin de Shodan venu.
La promesse : coder comme on respire
Lovable, Base44, Replit, Netlify. Quatre noms qui ronronnent dans les oreilles des startupers en mal de MVP. Le principe ? Un prompt, une IA, et pouf : une web app fonctionnelle. Plus besoin de savoir coder, plus besoin de comprendre les fondamentaux de la sécurité. Juste une vague idée et l'arrogance de croire que l'IA a géré le reste. En 2024, ces plateformes ont généré plus de 500 000 applications, selon des estimations optimistes. Le problème ? Au moins 12 000 d'entre elles laissent vos données personnelles et corporate en pâture sur le web, accessibles sans mot de passe.
La réalité : une passoire à données
Une simple recherche sur des moteurs comme Censys ou Shodan permet de tomber sur des bases PostgreSQL ouvertes, des variables d'environnement avec des clés AWS, des tokens Slack, des emails de clients, voire des numéros de carte bleue. Tout cela parce que le développeur du dimanche (ou plutôt le "prompteur") n'a jamais entendu parler de principe du moindre privilège, de validation des entrées ou de gestion des secrets. Et les plateformes ? Elles n'ont aucun intérêt à vous prévenir : plus vous créez, plus elles vendent de crédits. Netlify se fiche bien que votre app soit une passoire tant que vous payez l'abonnement Pro.
Qui est responsable ?
Les entreprises, bien sûr. Lovable vous vend la promesse de "build in seconds" sans jamais mentionner les bonnes pratiques de sécurisation. Base44 enchaîne les campagnes marketing sur "l'IA amplifie votre productivité" sans un mot sur les risques. Replit, l'éditeur en ligne chéri des codeurs en herbe, laisse par défaut les applications en mode public. Et Netlify, le hébergeur, n'a pas de garde-fou pour détecter les fuites de données. Mais ne pleurons pas trop : les inconscients qui balancent leur fichier .env dans le dépôt Git après un "vibe commit" sont tout aussi coupables.
Le vrai coût de la démocratisation
Chaque app exposée est une mine d'or pour les cybercriminels. En 2024, le coût moyen d'une fuite de données est de 4,88 millions de dollars (IBM). Mais ici, le coût est supporté par les utilisateurs finaux, pas par les plateformes. Lovable, Base44, Replit et Netlify continuent de lever des fonds et de recruter des commerciaux. Et vous, vous vous demandez pourquoi votre boîte mail est soudainement remplie de spams en russe.
Le verdict ? Le vibe-coding est une merveilleuse invention pour les développeurs qui savent ce qu'ils font. Pour les autres, c'est un aspirateur à données offert sur un plateau d'argent à la face du monde. Mais rassurez-vous, les VCs continuent d'arroser ces startups. Après tout, la croissance prime sur la sécurité. Toujours.