5 000 applis IA sans sécurité exposent tes données en ligne
Pourquoi ça compte pour toi
Si tu utilises Lovable, Replit, Base44 ou Netlify pour créer une appli rapidement, tu risques de divulguer sans le savoir des infos sensibles : données médicales, financières, conversations clients. C'est pas un bug, c'est un trou de sécurité béant que même les non-développeurs peuvent creuser sans le vouloir. Et ça s'étend bien au-delà de ces 5 000 applis trouvées.
Ce qu'il faut retenir
- 1.40% des applis exposées contenaient des données sensibles : dossiers médicaux, données financières, stratégies d'entreprise
- 2.Beaucoup n'avaient aucune authentification ou juste une demande d'e-mail factice pour accéder aux données
- 3.Les outils IA facilitent la création d'appli à n'importe qui, mais personne ne leur enseigne les bases de la sécurité
- 4.Hameçonnage inclus : des sites bancaires et e-commerce contrefaits ont été trouvés créés avec ces outils
Comment c'est arrivé là
Dor Zvi et son équipe chez RedAccess ont fait simple : ils ont cherché sur Google et Bing les domaines des quatre plateformes (Lovable, Replit, Base44, Netlify) et trouvé 5 000 applis publiques. Sur celles-ci, 2 000 exposaient clairement des données privées.
Concrètement, ils ont eu accès à :
- ▸Des plannings d'hôpital avec noms et infos des médecins
- ▸Des stratégies commerciales complètes d'entreprises
- ▸L'historique des conversations clients avec les chatbots (noms, coordonnées inclus)
- ▸Des registres de cargo, des factures, des enregistrements financiers
Dans certains cas, Zvi aurait même pu obtenir des droits administrateur et supprimer d'autres admins.
Le vrai problème : c'est pas un bug, c'est une architecture
Quand RedAccess a contacté les quatre entreprises, elles ont toutes répondu la même chose : "Nos utilisateurs ont choisi de rendre public. C'est leur responsabilité."
Replit a écrit que les applis publiques sont accessibles sur Internet, c'est "le comportement attendu". Base44 (chez Wix) affirme que désactiver la sécurité est une action "délibérée et facile".
Mais voilà le piège : les outils IA permettent aux gens sans bagage technique de créer des applis en quelques clics. Personne ne leur dit "Attention, configure la sécurité." Personne ne met des garde-fous par défaut. Comme dit Joel Margolis, chercheur en sécurité : "Ces outils font ce que tu demandes. À moins que tu demandes à le faire de façon sécurisée, ils ne vont pas le faire d'eux-mêmes."
C'est exactement comme le scandale des buckets Amazon S3 il y a quelques années : des milliers d'entreprises (Verizon, WWE) exposaient des téraoctets de données parce que les paramètres par défaut étaient confus et dangereux.
Et maintenant ?
Zvi estime que 5 000 applis, c'est juste celles sur les domaines des plateformes. Il en existe probablement des milliers d'autres sur des domaines privés que personne n'a trouvées. Les quatre entreprises minimisaient l'ampleur du problème, mais aucune n'a nié que les applis étaient réellement exposées.
Le vrai enjeu : ces outils mettent le pouvoir de créer dans les mains de gens qui ignorent complètement les principes de base de la sécurité. Et les plateformes ? Elles préfèrent dire "c'est ton problème" plutôt que de mettre en place des garde-fous.
Source
Approfondir avec un guide
📊 Cours en bourse
Pour aller plus loin
Cet article t'a donné envie d'approfondir ? Deux formations Noésis t'attendent :
Explorer les thèmes de cet article :