Actus auto-importées korben
22/04/2026

« C'est le comportement attendu » : faille critique et com' désastreuse, la triple faute de Lovable

Par admin

« C'est le comportement attendu » : faille critique et com' désastreuse, la triple faute de Lovable

Lovable, l’étoile montante du vibe coding (vous savez, ces plateformes où vous décrivez une app en langage naturel et une IA vous génère le code), traverse un sale moment.

Un chercheur en sécurité, répondant au doux pseudo de @weezerOSINT, a découvert une faille BOLA (Broken Object Level Authorization) qui permettait à n’importe qui de lire les identifiants, les historiques de chat et le code source de tous les projets créés avant novembre 2025 sur la plateforme.

Bienveillant, le chercheur a envoyé son rapport via HackerOne début mars. Le rapport a été fermé, au motif que les partenaires HackerOne estimaient que l’accès aux chats de projets publics était en fait "le comportement attendu".

Sauf qu’il ne s’agissait pas de projets publics mais de données privées, c’est ballot. Six mois de données se sont retrouvées exposées pendant que le ticket dormait.

Quand l’info est remontée publiquement, la société Lovable a d’abord sorti un premier communiqué. Voilà la version officielle : "c’est du comportement intentionnel" et "notre documentation manquait de clarté". Oui alors bof comme explication…

La gronde est donc montée, en particulier du côté des boîtes comme Uber, Zendesk ou Deutsche Telekom qui utilisent Lovable et se sont retrouvées à devoir expliquer à leurs équipes sécurité ce que faisait leur code source sur une plateforme, à cause de contrôles d’accès défaillants.

Il y a donc eu un second communiqué, avec un rétropédalage complet. Lovable reconnaît désormais que le premier post "n’adressait pas correctement notre erreur" et pointe désormais HackerOne comme responsable du fait que la faille n’ait pas été corrigée plus tôt…

On est donc là sur une stratégie de com qui consiste à balancer sous le bus son propre prestataire de bug bounty, alors que HackerOne n’est que le canal de réception des rapports.

Le vrai sujet dans tout ça, c’est qu’une plateforme qui propose de générer du code à la volée pour des clients enterprise aurait dû avoir des contrôles d’autorisation de base depuis le premier jour. Le vibe coding est une très belle promesse commerciale, mais les boîtes qui hébergent les projets générés doivent gérer la sécurité comme les vrais hébergeurs cloud.

Ce genre d’incident rappelle que la vitesse de génération ne remplace pas les fondamentaux… Bref, on est là sur une triple faute : vulnérabilité de base, gestion du rapport cassée, com de crise désastreuse.

Source :
The Register

Source : korben.info

Laisser un commentaire