J’en ai déjà parlé plusieurs fois : l’ère de l’IA est le moment idéal pour concevoir son application vibe codée. Désormais, tout le monde peut créer sa propre application, qu’on sache déjà coder ou non. Pas besoin de maîtriser le code ou de demander de l’aide : un assistant IA génère le code et te guide pour déployer ton appli en ligne. Pratique, non ? 😊
Mais avec cette explosion de nouveaux projets web, une question se pose : sont-ils tous sécurisés ? Spoiler : non.
Plus les IA seront performantes, plus les failles seront exploitées. D’ailleurs, ce n’est pas un hasard si les fuites de données se multiplient en France. Preuve en est : Claude Mythos, l’IA d’Anthropic peut détecter une vingtaine de vulnérabilités en une seule journée (comme elle l’a fait avec Firefox).
Je vais te montrer deux exemples d’applications vibe codées qui révèlent des failles… basiques pour un développeur.
Première application vibe codée avec Bolt.new
Bolt.new avait fait beaucoup de bruit à sa sortie, et j’avais d’ailleurs testé cet outil à deux reprises :
- Créer une application sans coder avec bolt.new (novembre 2024)
- Bolt new révolutionne le développement avec l’IA (mars 2025)
Cette fois, je me suis penché sur un mini-jeu créé en vibe coding : un défi quotidien où une image mystère se dévoile progressivement. Chaque jour, une case est révélée, et les joueurs peuvent proposer un nom pour deviner ce qu’elle représente.
Cette application vibe codée est plutôt propre en apparence. Mais c’est en regardant le code que ça devient intéressant 😊. L’IA a eu la bonne idée de découper l’image en plusieurs tuiles (sinon, ce serait trop simple : un clic droit pour afficher l’image, et hop, le mystère est résolu). Pour afficher chaque tuile, l’appel utilisé est image-proxy?round_id=<id_image>&row=1&col=1 :
row: numéro de la lignecol: numéro de la colonne
En modifiant ces paramètres, tu peux afficher n’importe quelle tuile. Il ne reste plus qu’à demander à Claude de générer un script pour charger toutes les tuiles et reconstituer l’image… et le tour est joué. Pour un développeur, c’est ultra-simple. Pour un non-développeur, ça ressemble à une technique de ninja hacker… alors qu’en réalité, c’est juste une faille basique.
Deuxième application vibe codée avec Claude
Là, ça va être encore plus drôle 😅. On reste sur un jeu ultra-simple : un pendu classique, où le but est de deviner le mot mystère.
Encore une fois, le design ne nous intéresse pas ici. Ce qui nous intéresse, c’est la sécurité de cette application vibe codée.
En inspectant le code HTML, on tombe sur cette ligne :
<button id="tab-admin" class="tab" onclick="switchTab('admin')" style="display:none">⚙️ Admin</button>
Un développeur qui voit ça aura immédiatement envie de remplacer display:none par display:block pour faire apparaître le bouton. Et devine quoi ? Ça marche 😊.
Mieux encore : aucune vérification n’est effectuée sur le rôle de l’utilisateur connecté. Résultat, tu peux accéder à toutes les fonctionnalités admin… sans être admin.
Encore une fois, il s’agit d’un jeu avec peu de risques concrets. Mais ces exemples montrent à quel point des failles simples peuvent traîner dans les applications vibe codées.
Les développeurs auront-ils encore du travail ?
On entend souvent dire que les développeurs n’auront plus de travail, tant les IA génèrent du code de qualité. Mais après avoir vu les failles des applications vibe codées ci-dessus, tu te doutes bien que cette qualité dépend surtout… de la personne qui interagit avec l’IA.
Pourtant, cela n’empêchera pas de nouvelles applications de voir le jour. Et c’est une bonne nouvelle !
Certains artisans ou entrepreneurs se lancent même dans la création d’applications, puis font appel à de vrais développeurs pour les finaliser ou les sécuriser. Un besoin qui n’existait pas avant : sans le vibe coding, ces projets n’auraient jamais vu le jour (trop cher, budget limité, etc.).
Résultat ? De nouveaux débouchés pour les devs : se spécialiser dans la reprise et la sécurisation d’applications vibe codées, et répondre à une demande bien réelle.
Et toi, qu’en penses-tu ? Partage ton avis en commentaires 😅.