Chercheur en sécurité révèle des failles critiques dans des apps Lovable exposant 18 000 utilisateurs

Taimur Khan, chercheur en sécurité, accuse la plateforme de codage assisté par IA Lovable d'héberger des applications vulnérables après avoir identifié 16 failles, dont six critiques, dans l'app mise en avant EdTech. Cette brèche a exposé les données de plus de 18 000 utilisateurs, enseignants et étudiants de grandes universités et écoles. Tout un chacun pouvait consulter toutes les données utilisateurs, supprimer des comptes, modifier les soldes de crédits, envoyer des e-mails en masse et accéder aux cours ainsi qu'aux notes sans s'authentifier. Le problème central provient d'un contrôle d'accès défaillant dû à une erreur logique simple dans le code backend généré par IA : « si vous êtes un utilisateur connecté, refusez l'accès ». Taimur Khan estime que ce type d'erreur aurait pu passer inaperçu lors de la génération de code IA sans révision humaine adéquate, alors qu'un examen manuel l'aurait détecté. Les plateformes de codage « vibe », comme Lovable qui permet de créer des apps via des descriptions en langage naturel, accélèrent le développement mais amplifient les risques si le code n'est pas audité. Un scan plus large de 1 645 applications Lovable a révélé 170 d'entre elles affectées par des failles critiques. Lovable aurait répondu en conseillant aux utilisateurs de faire preuve de plus de prudence dans la revue du code généré. Ces découvertes soulignent les limites de la génération de code IA, qui produit du logiciel fonctionnel en apparence mais potentiellement insecure sans tests rigoureux. Les incidents de ce type rappellent les vulnérabilités récurrentes dans les outils no-code/low-code assistés par IA, où la vitesse prime souvent sur la sécurité. Lovable n'a pas détaillé de mesures correctives immédiates.