Sécurité du Vibe Coding : Le Guide Complet pour Protéger vos Apps Construites par IA
Vous avez décrit ce que vous vouliez en langage naturel. L'IA l'a construit. Vous avez cliqué sur "Deploy". Votre app est en ligne.
Mais voici la réalité qui dérange : cette application est probablement trouée de failles de sécurité.
Le vibe coding -- cette méthode qui consiste à créer des logiciels en décrivant ce qu'on veut à une IA -- a rendu possible la mise en ligne d'une application web en quelques heures. Des outils comme Lovable, Bolt, Cursor, Replit et v0 transforment des non-développeurs en créateurs d'applications. Mais la sécurité du vibe coding est au mieux une réflexion de dernière minute, au pire complètement absente.
Ce guide est fait pour vous si vous avez construit quelque chose avec un outil de code IA et que vous voulez vous assurer que votre app ne fuit pas de données, n'expose pas de clés API, ou ne reste pas grande ouverte pour quiconque sait où chercher.
Qu'est-ce que le Vibe Coding ?
Le vibe coding est un terme inventé par Andrej Karpathy début 2025 pour décrire une nouvelle façon de créer des logiciels : vous décrivez ce que vous voulez en langage naturel, et une IA écrit le code à votre place. Vous ne lisez pas chaque ligne. Vous ne comprenez pas forcément l'implémentation. Vous "vibez" avec l'IA jusqu'à ce que le résultat ait l'air correct.
Les plateformes de vibe coding les plus populaires :
- Lovable -- génération d'apps full-stack à partir de prompts
- Bolt (par StackBlitz) -- codage IA dans le navigateur avec aperçu instantané
- Cursor -- éditeur de code augmenté par l'IA avec autocomplétion et chat
- Replit -- IDE cloud avec un agent IA qui construit et déploie
- v0 (par Vercel) -- génération d'interfaces à partir de descriptions textuelles
Ces outils sont vraiment impressionnants. On peut passer de l'idée à une app déployée en un après-midi. Le problème, c'est que l'IA optimise pour faire fonctionner les choses, pas pour les rendre sécurisées.
Pourquoi le Vibe Coding Crée des Risques de Sécurité
Les risques de sécurité du vibe coding viennent d'une tension fondamentale : les modèles d'IA sont entraînés pour produire du code fonctionnel, pas du code sécurisé. Quand vous demandez à une IA d'"ajouter l'authentification utilisateur" ou de "connecter la base de données", elle fait le travail -- mais elle prend souvent des raccourcis qui feraient grimacer n'importe quel expert en sécurité.
Voici pourquoi :
L'IA ne pense pas comme un attaquant
Les modèles de langage génèrent du code en se basant sur des patterns issus de leurs données d'entraînement. Ils produisent ce qui ressemble statistiquement à du code correct. Ils ne modélisent pas les scénarios de menace. Ils ne réfléchissent pas à ce qui se passe quand un utilisateur malveillant envoie des données inattendues, manipule une URL ou inspecte l'onglet réseau de son navigateur.
Le créateur ne relit pas le code
Les développeurs traditionnels lisent au moins la majeure partie du code qu'ils écrivent. Ceux qui font du vibe coding, souvent non. Si vous n'êtes pas développeur, vous ne repérerez pas une clé API codée en dur ou un contrôle d'autorisation manquant. Et l'IA ne le signalera pas non plus -- elle ne sait pas que c'est un problème.
Les configurations par défaut sont peu sécurisées
Les outils IA utilisent fréquemment des configurations par défaut qui privilégient la facilité de mise en route à la sécurité. Row Level Security (RLS) désactivée par défaut sur Supabase. Règles de sécurité Firebase ouvertes à tous. Headers CORS autorisant toutes les origines. Ces réglages par défaut sont parfaits pour prototyper mais dangereux en production.
La vitesse tue la sécurité
Le vibe coding, c'est la vitesse avant tout. Construire vite, déployer vite. Les revues de sécurité, les tests de pénétration, les audits de dépendances -- tout ça ralentit. Alors on les saute. Le résultat : une population croissante d'apps en production avec des failles exploitables.
Les 8 Failles de Sécurité les Plus Courantes en Vibe Coding
Après avoir scanné des centaines d'applications construites par IA, nous avons identifié les vulnérabilités les plus fréquentes liées à la sécurité du vibe coding. Voici ce qui revient sans cesse.
1. Clés API et secrets exposés
Fréquence : Trouvé dans plus de 60% des apps scannées.
Les outils IA intègrent régulièrement des clés API, des identifiants de base de données et des tokens de services directement dans le JavaScript frontend. Autrement dit, n'importe qui peut ouvrir les outils développeur de son navigateur et récupérer vos clés.
Ce qu'on trouve le plus souvent :
- Clés
anonSupabase sans RLS - Objets de configuration Firebase avec accès total à la base
- Clés secrètes Stripe (pas seulement les clés publiables)
- Clés API OpenAI (menant à des factures astronomiques)
- Tokens de services tiers (SendGrid, Twilio, etc.)
2. Row Level Security (RLS) manquante ou désactivée
Fréquence : Trouvé dans plus de 70% des apps basées sur Supabase.
Quand une IA construit une app Supabase, elle crée des tables et écrit des requêtes -- mais elle n'active presque jamais la Row Level Security. Sans RLS, quiconque possède votre URL Supabase et la clé anon (qui est dans le code frontend) peut lire, modifier ou supprimer chaque ligne de chaque table.
3. Pas d'autorisation côté serveur
Fréquence : Trouvé dans environ 50% des apps scannées.
L'IA implémente souvent l'"autorisation" en masquant des éléments d'interface. Si vous n'êtes pas admin, le bouton admin ne s'affiche pas. Mais le endpoint API derrière ? Grand ouvert. N'importe qui peut l'appeler directement. Ce n'est pas une vraie autorisation -- c'est de la décoration d'interface.
4. Fichiers d'environnement exposés
Fréquence : Trouvé dans environ 15% des apps scannées.
Des fichiers comme .env, .env.local et .env.production se retrouvent parfois accessibles à l'URL publique de l'application. Cela arrive quand les outils de build configurent mal le répertoire de sortie, ou quand la plateforme de déploiement sert des fichiers statiques depuis le mauvais dossier racine. Un seul fichier .env exposé peut contenir tous les secrets de votre application.
5. Dépendances vulnérables
Fréquence : Trouvé dans plus de 80% des apps scannées.
Le code généré par IA importe des packages npm sans vérifier leur statut de sécurité. L'IA a été entraînée sur des données qui peuvent référencer des versions de librairies obsolètes ou vulnérables. Même quand le package est correct, l'IA peut l'utiliser de manière non sécurisée.
6. Headers de sécurité manquants
Fréquence : Trouvé dans plus de 90% des apps scannées.
Quasiment aucune app construite par IA n'est livrée avec les bons headers de sécurité. Des headers comme Content-Security-Policy, X-Frame-Options, Strict-Transport-Security et X-Content-Type-Options sont des protections basiques contre les attaques XSS, le clickjacking et le MIME-sniffing. Les outils IA ne les ajoutent pas parce que personne ne les demande.
7. Règles Firebase trop permissives
Fréquence : Trouvé dans environ 40% des apps basées sur Firebase.
Les apps Firebase générées par IA sont fréquemment livrées avec des règles de sécurité trop permissives -- parfois littéralement allow read, write: if true;. Cela signifie que n'importe qui peut lire et écrire dans toute votre base de données, uploader des fichiers dans votre storage ou invoquer vos cloud functions.
8. Authentification faible ou absente
Fréquence : Trouvé dans environ 30% des apps scannées.
Quand l'IA implémente l'authentification, elle saute souvent les protections critiques : pas de rate limiting sur le login (permettant les attaques par force brute), pas de protection CSRF sur les formulaires, des tokens de réinitialisation de mot de passe qui n'expirent pas, et des tokens de session stockés dans le localStorage au lieu de cookies HttpOnly.
La Checklist Sécurité du Vibe Coding
Utilisez cette checklist pour auditer votre application construite par IA. Chaque point est quelque chose que nous avons vu échouer dans de vraies apps.
| Catégorie | Vérification | Priorité |
|---|---|---|
| Secrets | Aucune clé API ni token dans le JavaScript frontend | Critique |
| Secrets | Toutes les valeurs sensibles dans des variables d'environnement côté serveur | Critique |
| Secrets | Fichiers .env non accessibles via l'URL publique | Critique |
| Base de données | RLS Supabase activée sur toutes les tables | Critique |
| Base de données | Règles de sécurité Firebase restrictives en lecture/écriture | Critique |
| Base de données | Identifiants de base de données jamais dans le code client | Critique |
| Auth | Autorisation côté serveur sur tous les endpoints API | Haute |
| Auth | Rate limiting sur les endpoints login et signup | Haute |
| Auth | Tokens de session dans des cookies HttpOnly (pas localStorage) | Haute |
| Auth | Protection CSRF sur les requêtes qui modifient l'état | Haute |
| Headers | Header Content-Security-Policy configuré | Moyenne |
| Headers | Header Strict-Transport-Security présent | Moyenne |
| Headers | X-Frame-Options sur DENY ou SAMEORIGIN | Moyenne |
| Headers | X-Content-Type-Options sur nosniff | Moyenne |
| Dépendances | Aucun package vulnérable connu en production | Haute |
| Dépendances | Lock file commité et dépendances épinglées | Moyenne |
| SSL | Certificat SSL valide sans problème de chaîne | Haute |
| SSL | Tout le trafic HTTP redirigé vers HTTPS | Haute |
| Déploiement | Source maps désactivées en production | Basse |
| Déploiement | Endpoints de debug/développement supprimés | Moyenne |
Comment Sécuriser votre App Vibe-Codée
Connaître les risques, c'est l'étape 1. Voici comment concrètement les corriger.
Étape 1 : Déplacer tous les secrets côté serveur
C'est la chose la plus impactante que vous puissiez faire. Passez en revue votre code (ou demandez à l'IA de vous aider) et trouvez chaque clé API, token ou identifiant qui apparaît dans le code client. Déplacez-les vers :
- Les variables d'environnement de votre plateforme d'hébergement (Vercel, Netlify, Railway, etc.)
- Des routes API côté serveur qui font proxy vers les services externes
- Des fonctions backend qui gèrent les opérations sensibles
Votre frontend ne devrait jamais contenir un secret. Point final.
Étape 2 : Activer les règles de sécurité de votre base de données
Si vous utilisez Supabase, activez la RLS sur chaque table et écrivez des policies qui restreignent l'accès en fonction de l'utilisateur authentifié. Si vous utilisez Firebase, remplacez les règles par défaut par des règles spécifiques pour chaque collection.
Ne comptez pas sur l'IA pour que ce soit correct du premier coup. Testez vos règles en essayant d'accéder à des données auxquelles vous ne devriez pas avoir accès.
Étape 3 : Ajouter l'autorisation côté serveur
Chaque endpoint API qui modifie des données ou renvoie des informations sensibles doit vérifier qui l'appelle. Concrètement :
- Vérifier le token de session/JWT à chaque requête
- Vérifier que l'utilisateur a la permission pour l'action spécifique
- Ne pas se contenter de vérifier "est connecté" -- vérifier "cet utilisateur a-t-il le droit de faire cette action précise"
Étape 4 : Ajouter les headers de sécurité
La plupart des plateformes d'hébergement permettent de configurer les headers de réponse. Ajoutez-les. Sur Next.js, utilisez les headers dans next.config.ts. Sur Vercel, utilisez vercel.json. Sur Netlify, utilisez _headers.
Au minimum, ajoutez :
Content-Security-Policy: default-src 'self'; script-src 'self'
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: DENY
X-Content-Type-Options: nosniff
Referrer-Policy: strict-origin-when-cross-origin
Étape 5 : Auditer vos dépendances
Lancez npm audit ou yarn audit dans votre projet. Mettez à jour tout ce qui a des vulnérabilités connues. Supprimez les packages que vous n'utilisez pas réellement. Si vous ne comprenez pas votre arbre de dépendances, demandez à l'IA de vous l'expliquer -- c'est un domaine où elle est effectivement compétente.
Étape 6 : Scanner votre app régulièrement
La sécurité n'est pas un effort ponctuel. Chaque fois que vous demandez à l'IA d'ajouter une fonctionnalité, elle peut introduire de nouvelles vulnérabilités. Il faut scanner après chaque changement significatif.
C'est exactement ce que fait ScanVibe. Pointez-le vers votre URL, et il vérifie tous les problèmes décrits dans ce guide -- secrets exposés, headers manquants, mauvaises configurations de base de données, dépendances vulnérables, et bien plus.
Sécurité du Vibe Coding par Plateforme
Chaque plateforme de vibe coding a ses propres comportements par défaut. Voici ce à quoi il faut faire attention pour chacune.
Lovable
Lovable génère des apps full-stack avec des backends Supabase. Le risque principal : la RLS désactivée sur les tables Supabase. Lovable a aussi tendance à mettre la configuration Supabase dans le code frontend, ce qui est normal pour la clé anon (elle est faite pour être publique) mais uniquement si la RLS est correctement configurée. Vérifiez toujours votre dashboard Supabase après avoir déployé une app Lovable.
Bolt
Bolt fonctionne dans le navigateur et déploie sur différentes plateformes. Il a tendance à embarquer toute la configuration dans le code client puisqu'il construit tout dans un seul environnement. Surveillez les clés API dans les bundles JavaScript et assurez-vous que vos services backend ont des contrôles d'accès adéquats.
Cursor
Cursor est l'outil le plus orienté développeur, ce qui signifie qu'il produit du code qui a l'air professionnel mais qui présente les mêmes problèmes de sécurité du vibe coding. Cursor peut scaffolder un projet avec une architecture impeccable tout en codant des secrets en dur, en sautant la RLS ou en utilisant des configurations par défaut peu sécurisées. Ne vous laissez pas tromper par la qualité apparente du code -- ne sautez pas la revue de sécurité.
Replit
L'agent IA de Replit peut construire et déployer des apps complètes. Il utilise le gestionnaire de secrets de Replit pour les variables d'environnement, ce qui est bien. Mais le code applicatif généré peut quand même exposer des secrets dans les réponses API, manquer de vérifications d'autorisation ou utiliser des paramètres CORS trop permissifs.
v0
v0 se concentre sur la génération d'UI et ne gère généralement pas directement la logique backend. Le risque principal vient de la façon dont les composants frontend générés interagissent avec les API externes. Assurez-vous que les appels API passent par des routes côté serveur, pas directement depuis le navigateur.
Bonnes Pratiques pour un Vibe Coding Sécurisé
Il ne s'agit pas d'arrêter d'utiliser les outils de code IA. Il suffit d'intégrer la sécurité dans votre workflow. Voici les pratiques qui rendent le vibe coding sécurisé possible.
1. Incluez la sécurité dans vos prompts
Quand vous décrivez ce que vous voulez, mentionnez la sécurité explicitement. Au lieu de "ajoute l'authentification utilisateur", essayez "ajoute l'authentification utilisateur avec validation de session côté serveur, cookies HttpOnly, rate limiting sur le login et protection CSRF". L'IA répond à ce que vous demandez.
2. Traitez l'IA comme un développeur junior
Laisseriez-vous un développeur junior pousser du code en production sans relecture ? Non. Appliquez le même standard au code généré par IA. Relisez-le -- ou faites-le relire -- avant de déployer.
3. Scannez avant de mettre en ligne
Lancez un scanner de sécurité sur votre app déployée avant de la partager avec des utilisateurs. Attrapez les problèmes évidents avant qu'un attaquant ne le fasse.
4. Continuez à scanner après la mise en ligne
Nouvelles fonctionnalités = nouvelles vulnérabilités potentielles. Mettez en place des scans réguliers. Le plan Pro de ScanVibe inclut des scans programmés qui vérifient automatiquement votre app à intervalles réguliers.
5. Apprenez les bases
Vous n'avez pas besoin de devenir expert en sécurité, mais comprendre la différence entre le code côté client et côté serveur, savoir ce qu'est une clé API et pourquoi les règles de base de données sont importantes vous évitera les erreurs les plus courantes.
Conclusion
Le vibe coding a démocratisé le développement logiciel. C'est une bonne chose. Mais la sécurité du vibe coding n'a pas suivi le rythme de sa vitesse. Le résultat : des milliers d'applications en production avec des failles critiques -- clés API exposées, bases de données ouvertes, autorisation manquante, et bien plus.
La solution n'est pas compliquée. Elle commence par la prise de conscience (vous lisez cet article, vous êtes déjà en avance), se poursuit par un audit systématique (utilisez la checklist ci-dessus), et se maintient grâce à des scans réguliers.
N'attendez pas une fuite de données pour prendre la sécurité du vibe coding au sérieux.
Prêt à savoir si votre app est vulnérable ? Scannez votre app gratuitement sur scanvibe.dev. ScanVibe détecte les secrets exposés, les headers de sécurité manquants, les mauvaises configurations de base de données, les dépendances vulnérables, et bien plus -- en quelques secondes. Conçu spécifiquement pour les apps créées avec Lovable, Bolt, Cursor, Replit et les autres outils de code IA.