5000 apps générées par IA exposent données médicales et financières

Thousands of Vibe-Coded Apps Expose Corporate and Personal Data on the Open Web

Companies like Lovable, Base44, Replit, and Netlify use AI to let anyone build a web app in seconds—and in thousands of cases, spill highly sensitive data onto the public internet.

WIREDAndy Greenberg

L'enquête de RedAccess révèle un angle mort majeur de la démocratisation du code : 5000 applications web créées avec des outils IA exposent publiquement des données sensibles. Dor Zvi et son équipe ont découvert des dossiers médicaux avec noms de médecins, des stratégies commerciales complètes, des logs de chatbots clients avec coordonnées personnelles, et même des sites de phishing imitant Bank of America ou McDonald's.

"N'importe qui de votre entreprise peut à tout moment générer une app, et cela ne passe par aucun cycle de développement ou vérification de sécurité. Les gens peuvent simplement commencer à l'utiliser en production sans demander à personne. Et ils le font."

— Dor Zvi, Chercheur en sécurité, cofondateur de RedAccess

Le mécanisme d'exposition est simple : ces plateformes hébergent les apps sur leurs propres domaines, rendant la découverte triviale via Google. Les entreprises se défendent en renvoyant la responsabilité aux utilisateurs, mais le problème systémique persiste : n'importe qui dans une organisation peut désormais créer une app en production sans validation sécuritaire. Cette démocratisation du développement reproduit l'épidémie des buckets Amazon S3 mal configurés, mais à une échelle potentiellement plus large.

Points de vigilance

Les entreprises peuvent minimiser en arguant que les données exposées sont factices. La responsabilité est renvoyée aux utilisateurs finaux sans remise en cause des paramètres par défaut des plateformes.

Et maintenant ?

• 🤘 Créer un standard de sécurité par défaut pour les outils de codage IA

Alliance régulateurs + chercheurs en sécurité pour définir des paramètres de sécurité obligatoires (authentification, chiffrement, logs d'accès) dans les outils de génération de code. Transformer la responsabilité individuelle en obligation technique des plateformes.

→ On saura que ça marche quand les outils IA refuseront de générer du code sans authentification par défaut, comme les navigateurs bloquent désormais HTTP non sécurisé.

• 💪 Auditer les apps internes via recherche Google avant mise en production

Méthode RedAccess reproductible : rechercher 'site:replit.com [nom-entreprise]' et variantes pour identifier les apps exposées créées par ses équipes. Créer un processus de vérification mensuel avant que les données sensibles ne soient intégrées.

→ On saura que ça marche quand les entreprises intégreront cette recherche dans leurs audits de sécurité trimestriels et que les RSSI publieront des guides méthodologiques.

• ✊ Documenter et publier les expositions pour forcer la responsabilisation

Reproduire la méthode RedAccess à grande échelle : cartographier systématiquement les expositions par plateforme et publier des tableaux de bord anonymisés. Créer une pression réputationnelle sur les plateformes via la transparence des métriques de sécurité.

→ On saura que ça marche quand les plateformes publieront leurs propres métriques de sécurité par défaut pour éviter les audits externes, comme les navigateurs publient leurs statistiques de sites HTTPS.

8/10 : Score sur l'échelle des "5 piliers de la liberté", inspiré de l'ouvrage de Timothy Snyder

Framework #FLTR — Note méthodologique

Protocole de production et de publication dont la ligne éditoriale est codée dans l’ADN-même du projet. Cette architecture auto-apprenante transforme une intention humaine en contraintes techniques, imposées tant aux outils d’intelligence artificielle qu’aux humains qui les entrainent, et vice-versa

Damien Van Achter - First Learn The Rules. Then Break ThemDamien Van Achter

Ces pistes ne sont pas des recettes toutes faites, mais des points d'entrée pour repenser nos systèmes numériques selon une logique de liberté positive : non pas limiter, mais augmenter nos capacités collectives d'action.

Le règlement européen sur l'IA exclut explicitement la sécurité nationale de son périmètre. En Belgique, aucun cadre législatif ne régit aujourd'hui l'utilisation de l'intelligence artificielle par la Défense ou la Police fédérale. La pétition déposée à la Chambre demande trois choses concrètes : un inventaire des systèmes IA déjà déployés, des standards nationaux minimaux, et un positionnement parlementaire sur la surveillance de masse et les armes autonomes.

Comment agir ? La pétition nécessite 25 000 signatures, réparties entre la Flandre, la Wallonie et Bruxelles, pour déclencher un examen parlementaire. C'est un mécanisme démocratique existant — il suffit de l'activer. Signer prend moins d'une minute sur le site de la Chambre

56_2025-2026/60 - IA militaire en Belgique : transparence et règles — demande de contrôle parlementaire - 56_2025-2026/60 - IA militaire en Belgique : transparence et règles — demande de contrôle parlementaire - Pétitions - Petities

L’AI Act européen exclut la sécurité nationale de son champ. Aucun texte belge n’encadre donc l’usage de l’IA par la Défense nationale et la Police fédérale.Je demande à la Chambre d’adopter une résolution pour :(1) obtenir du gouvernement un état des lieux des systèmes IA déployés et de leurs garanties contractuelles ; (2) fixer des règles nationales minimales ; et (3) se prononcer sur l’usage de l’IA pour la surveillance de masse et les armes sans supervision humaine.

Logo officiel de Pétitions - PetitiesDamien Van Achter Créé le 28/02/2026

💬 On en discute ?

Tu veux recevoir le flux quotidien des articles publiés sur le site ? Suis-moi sur LinkedIn, Bluesky, Mastodon, Facebook ou rejoins-moi sur Discord !

Tu as des remarques, des suggestions, ou tu veux discuter d'une idée pour avancer dans tes propres projets ? Connecte-toi et laisse-moi un commentaire ou jette un oeil directement à mon agenda. 📆