Piattaforme Low Code

Vibe coding : les risques cachés du code généré par l’IA

ParSteven de Simseo

L’évolution technologique modifie radicalement la manière dont les logiciels sont développés, en introduisant des pratiques innovantes qui redéfinissent la frontière entre la programmation humaine et l’automatisation. Parmi les tendances les plus discutées émerge le Vibe coding, une approche qui délègue l’écriture de lignes de code à des modèles d’intelligence artificielle, guidés exclusivement par des indications textuelles. Dans une récente interview accordée aux micros du podcast Médias de Hacker Valleyl’experte en cybersécurité Tanya Janca et l’animateur Ron Eddings ont analysé les risques structurels et les implications systémiques de cette transformation, soulignant comment la rapidité de sa mise en œuvre peut compromettre la stabilité et la protection des infrastructures numériques mondiales.

Des contraintes du programme Apollo à l’effondrement de Knight Capital

Pour comprendre l’ampleur du changement de paradigme en cours, il est nécessaire de comparer la facilité actuelle de génération de code avec les modèles historiques de génie logiciel. En 1969, la discipline reposait sur des contraintes techniques extraordinairement rigides. Margaret Hamilton, directrice de l’ingénierie logicielle pour le programme Apollo de la NASA, s’est retrouvée à développer des systèmes de guidage pour les missions lunaires avec seulement 72 kilo-octets de mémoire.

Dans cet environnement d’exploitation, chaque ligne de code devait être correcte du premier coup, car l’absence d’outils modernes tels que des correctifs correctifs, des restaurations ou des plates-formes de gestion des versions imposait une précision absolue. L’application rigoureuse de la pensée systémique a permis au logiciel Apollo de gérer une surcharge de données dans les trois minutes suivant l’atterrissage d’Eagle sur la lune, interrompant ainsi les activités non essentielles et assurant la sécurité des astronautes.

Au contraire, l’expansion progressive de la mémoire et l’avènement du cloud ont réduit la perception du risque lié à la stabilité du code. Un exemple emblématique des conséquences résultant du manque de contrôle sur les logiciels remonte au 1er août 2012, lors de l’ouverture de la Bourse de New York. La société commerciale Knight Capital a activé une nouvelle application qui, en raison de l’échec de la désactivation d’un ancien fragment de code désutilisé, a généré des millions de transactions incorrectes à très grande vitesse. En seulement 45 minutes, l’entreprise a perdu 460 millions de dollars, démontrant comment le manque de vérification approfondie de chaque scénario de panne peut détruire en quelques minutes une infrastructure technologique consolidée au cours de dix-sept années d’activité.

Qu’est-ce que le vibe coding et pourquoi réécrit-il les règles du logiciel

La transition de contrôles manuels rigoureux à la prolifération de codes générés par l’intelligence artificielle trouve son expression maximale dans l’adoption du vibe coding. Tanya Janca définit ses limites opérationnelles avec précision : «Ma définition du vibe coding est lorsque l’IA écrit tout le code et que vous le dirigez simplement via des invites, sans réellement coder». Ce phénomène se caractérise par la publication immédiate du logiciel dans les environnements de production, sans la révision structurelle du code et la pleine compréhension de la logique implémentée.

Au sein de la communauté des développeurs, le phénomène est parfois appelé ingénierie agentique, lorsque l’activité se concentre spécifiquement sur la création et l’ingénierie d’agents autonomes. Bien que l’intégration d’assistants basés sur des modèles linguistiques représente un outil au potentiel extraordinaire, le principal risque réside dans un automatisme non critique. Janca utilise une métaphore efficace pour décrire la frivolité méthodologique actuelle, déclarant : « Je ne fermerais jamais les yeux avant de frapper un clou avec un marteau, parce que je me soucie de mes doigts ».

Réduire les barrières à l’entrée dans le développement de logiciels permet également à des personnes non spécialisées de distribuer des applications, augmentant proportionnellement le risque d’introduire des vulnérabilités critiques dans les systèmes de production.

Lorsque les invites échouent : vulnérabilités pratiques et incidents sur le terrain

L’illusion selon laquelle l’inclusion d’indications spécifiques destinées à la sécurité peut garantir l’infaillibilité des systèmes est démentie par l’expérience du terrain. Les invites de sécurité, tout en apportant un support utile, n’excluent pas la génération d’anomalies. Lors d’une session de formation en entreprise menée par Janca avec une soixantaine de participants, des comportements inattendus ont émergé des modèles de langage. Compte tenu de la même invite de sécurité standardisée, cinquante-neuf développeurs ont obtenu le code correct, tandis que l’assistant Claude a inséré des commentaires dans le code du trentième participant visant à demander au linter Python d’ignorer les lignes suivantes, provoquant intentionnellement le pointage de données sensibles dans les journaux système.

Ce type de dysfonctionnement met en évidence la façon dont les modèles d’intelligence artificielle ont tendance à reproduire les erreurs présentes dans les ensembles de données utilisés pour leur formation. Les algorithmes s’appuient sur les ressources informationnelles de l’ensemble du réseau, qui comprennent des didacticiels obsolètes, une documentation obsolète et des référentiels intentionnellement vulnérables créés à des fins éducatives ou de test. Comme le souligne Janca, le résultat est que « l’IA insère essentiellement le Top 10 OWASP dans chaque application qu’elle crée pour nous », transformant d’anciens types d’erreurs en vulnérabilités structurelles répandues à grande échelle.

L’évolution des menaces selon le Top 10 de l’OWASP

Le cadre réglementaire et méthodologique de la Sécurité des Applications enregistre ces transformations à travers la mise à jour des directives internationales. La version 2025 du Top 10 OWASP, codirigée par Tanya Janca, étend sa portée en introduisant un total de treize risques critiques, dont trois spécifiquement dédiés à l’impact de l’intelligence artificielle dans les processus de développement. Les données recueillies par l’industrie, principalement à partir de tests d’intrusion et d’outils d’analyse automatisés, confirment la persistance des menaces historiques aux côtés des vecteurs d’attaque émergents.

Un exemple évident est représenté par l’injection rapide, un phénomène que Janca fait remonter à la dynamique classique des vulnérabilités d’injection logicielle. Le problème réside dans l’incapacité du système à séparer clairement les instructions d’utilisation des données d’entrée fournies par l’utilisateur. En conséquence, des attaques comme celle-ci imitent d’anciens mécanismes d’injection SQL, dans lesquels un attaquant peut tromper le système pour qu’il ignore les directives précédentes afin d’exécuter des commandes arbitraires.

Parallèlement à ce scénario, des failles historiques telles qu’un contrôle d’accès brisé, une exposition non autorisée de données sensibles et un manque de surveillance rapide des erreurs système continuent d’apparaître.

Solutions opérationnelles et urgence d’un cadre réglementaire

Atténuer les risques associés à la propagation du vibe coding nécessite l’adoption de stratégies de sécurité à plusieurs niveaux et la structuration de programmes complets de sécurité des applications (AppSec). La mise en œuvre d’invites système au niveau organisationnel vous permet d’appliquer des contrôles standardisés à chaque fois qu’un code est généré, mais l’architecture globale doit inclure des pratiques établies telles que la modélisation des menaces et la vérification de la chaîne d’approvisionnement logicielle.

Sur le plan pratique, la réduction de l’exposition au risque peut également passer par des choix architecturaux visant à limiter la surface d’attaque. Analysant le cas de Buddybase, une application de gestion d’entreprise sans authentification à deux facteurs mais protégée via des informations d’identification standard et un accès restreint au réseau VPN Tailscale, Janca a souligné comment l’isolation du réseau réduit considérablement le danger intrinsèque.

Pour optimiser davantage la sécurité sans augmenter les frictions pour l’utilisateur final, l’expert suggère d’adopter l’authentification du flux des appareils par l’envoi de liens jetables, observant que « moins il y a de frictions, plus les gens seront conformes ».

Outre les solutions techniques, la normalisation des processus nécessite des interventions institutionnelles. Confrontée à l’insuffisance des cadres généraux tels que la norme ISO 27000 ou les lignes directrices du NIST pour couvrir les spécificités de la création d’applications sécurisées, Janca a lancé une pétition officielle auprès du gouvernement du Canada pour établir la première loi au monde sur le codage sécurisé obligatoire, visant à obliger les organisations publiques et privées à se conformer à des normes de développement strictes.

Prévisions sur cinq ans sur la sécurité et la confiance des utilisateurs

Au cours du débat, l’animateur Ron Eddings a posé une question cruciale sur l’avenir à moyen terme des infrastructures numériques : « Si le vibe coding devenait la norme pour la création de logiciels et que la sécurité ne changeait pas, à quoi ressemblera Internet dans cinq ans ? Le scénario de l’étude met en évidence une potentielle crise de confiance de la communauté envers les services numériques.

La réponse de Tanya Janca met en évidence une réaction défensive progressive de la part des utilisateurs: « Je pense que les gens cesseraient de nous fournir leurs données », soulignant la tendance de plus en plus répandue à enregistrer des profils en utilisant des données personnelles modifiées pour éviter les conséquences d’une violation de données.

La tolérance actuelle du marché, selon laquelle les failles des systèmes informatiques entraînent des fluctuations temporaires des stocks sans réelles sanctions, est appelée à s’affaiblir. Les prévisions indiquent la nécessité d’une intervention gouvernementale sévère, caractérisée par des sanctions financières rigoureuses et l’obligation pour les entreprises de démontrer des actions quotidiennes et fiables pour protéger les données personnelles, en surmontant la pratique des déclarations superficielles sur l’importance de la sécurité informatique.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.