Des failles critiques dans une app hébergée par Lovable exposent 18 000 utilisateurs

Taimur Khan, entrepreneur tech et ingénieur logiciel, a découvert 16 vulnérabilités, dont six critiques, dans une application hébergée sur la plateforme Lovable de codage par « vibe ». Cette app, mise en avant sur la page Discover de Lovable avec plus de 100 000 vues et environ 400 votes positifs, a exposé les données de plus de 18 000 personnes. Le problème principal réside dans les backends des apps générées par « vibe » sur Lovable, alimentés par Supabase, un service backend open source gérant l'authentification, le stockage de fichiers et les mises à jour en temps réel via une base PostgreSQL. Sans mise en œuvre explicite de la sécurité au niveau des lignes de données et des contrôles d'accès basés sur les rôles, le code généré par l'IA apparaît fonctionnel mais reste vulnérable. Par exemple, une fonction d'authentification mal formée bloquait les utilisateurs authentifiés tout en autorisant l'accès aux non authentifiés. Lovable effectue un scan pré-publication pour détecter les vulnérabilités et suggère des correctifs, mais laisse la décision d'implémentation à l'utilisateur. La plateforme précise que ce projet inclut du code non généré par elle et que la base de données vulnérable n'est pas hébergée chez elle. Elle a contacté le créateur de l'app, qui corrige désormais les problèmes. Ces failles soulignent les risques inhérents au codage assisté par IA, où les descriptions naturelles en langage courant peuvent omettre des sécurités critiques. Lovable, lancée récemment pour démocratiser la création d'apps via IA, héberge ainsi des milliers de projets potentiellement exposés si les développeurs humains ou IA négligent les bonnes pratiques.