L'IA promet une montée en puissance du piratage
28 juin 2025
L'IA promet une montée en puissance du piratage
Mais pas pour des raisons de Terminator numérique ou d'AGI maléfique hackeuse, pour une raison toute bête : les IA n'ont aucune notion par défaut de sécurité.
Des exemples concrets de vibecoding
En utilisant des outils de vibecoding, j'ai eu les cas suivants :
Clé d'API Google en clair dans le front
Traduction : tout le monde peut utiliser les services Google à MES frais.
Vérification d'un mot de passe côté front
Traduction : tout le monde connaît le mot de passe hyper secret.
Connexion à la BDD dans le front
Traduction : tout le monde peut aller fouiller et éditer ma base de données.
Routes privilégiées d'une API non protégées
Traduction : tout le monde peut utiliser mon API gratuitement sans s'identifier.
Pourquoi c'est grave
Quand on sait à quel point n'importe quel service déployé sur internet est en permanence scanné par des bots malveillants pour tout type de vulnérabilités, le fait que ces solutions sortent telles quelles fait froid dans le dos.
Personnellement, ce n'est pas un problème parce que je reconnais les problèmes au fur et à mesure qu'ils sont écrits et ils n'arrivent jamais jusqu'à la production.
Mais pour les néophytes qui veulent prototyper, les conséquences peuvent être désastreuses.
Le vrai risque
Le danger n'est pas que l'IA soit malveillante. Le danger, c'est qu'elle est naïve. Elle produit du code qui fonctionne, mais sans aucune considération pour la sécurité — à moins qu'on le lui demande explicitement.
Et même dans ce cas, les bonnes pratiques de sécurité ne se résument pas à quelques règles dans un prompt. C'est un métier, une veille permanente, une culture.
Le vibecoding sans expertise en sécurité, c'est comme construire une maison sans fondations : ça tient debout jusqu'au premier coup de vent.
Initialement publié sur LinkedIn.
Vous avez un doute sur la sécurité de votre projet ? Faites un diagnostic rapide pour savoir où vous en êtes.