Articles / Vibe Coding & Sécurité : Pourquoi demander à l'IA de "sécuri

Vibe Coding & Sécurité : Pourquoi demander à l'IA de "sécuriser" votre code crée plus de vulnérabilités qu'il n'en résout

ump — Un mot de passe pourri new 2026-05-05 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
259 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Un dev demande à l'IA "sécurise mon code". Elle génère une MFA. Ça marche. Sauf qu'on la bypass en 5 étapes. Vibe coding + sécurité = boucle infinie de vulns. Pourquoi ? Thread. https://unmotdepassepourri.substack.com/p/vibe-coding-and-securite-pourquoi

📅 11/05 à 19h55 il y a 13j
✓ Publié 11/05 à 19h55
🧵 Thread posted
1728 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/7

1/ Un dev compétent vibe-code sa sécu : "ajoute une MFA", "sécurise l'endpoint de reset password". L'IA génère. Ça marche. Les tests passent. Il déploie. Sauf que la feature de sécu contient elle-même des failles. Et ça, personne ne le voit.

2/7

2/ Pourquoi ? Parce que l'IA n'a pas de modèle de menace. Elle répond à "implémente la MFA", pas à "comment un attaquant contourne cette MFA ?". Elle produit du code plausible qui *ressemble* à une bonne pratique — sans en avoir la substance.

3/7

3/ Résultat : une boucle infinie. 1. Vuln détectée → demande de fix à l'IA 2. L'IA génère une feature de sécu → qui contient de nouvelles vulns 3. Nouvelles vulns détectées → retour étape 1 Chaque itération ajoute de la surface d'attaque.

4/7

4/ Cas réel : audit d'une plateforme B2B télécoms. Premier audit : "déployez une MFA". Contre-audit 3 semaines après : MFA en prod, fonctionnelle. Bypass complet en 5 étapes avec Burp. Code généré par IA, jamais relu par quelqu'un qui threat-model.

5/7

5/ Le dev n'a pas externalisé la sécu à l'IA — il a externalisé sa *responsabilité* sans transférer de compétence. Et l'IA n'a pas cette compétence à transférer. Elle hallucine de la sécu comme elle hallucine du code : avec cohérence, sans profondeur.

6/7

6/ Le vibe coding, c'est OK pour prototyper. Pas pour sécuriser. Chaque feature de sécu générée par IA devrait être threat-modelée, revue par un humain qui sait *comment on attaque*. Sinon, vous corrigez des vulns en en créant de nouvelles.

7/7

7/ Article complet ici — avec des exemples concrets de MFA bypassables, recovery codes exposés, et endpoints de reset sans rate-limit. Spoiler : l'IA n'avait rien vu venir. https://unmotdepassepourri.substack.com/p/vibe-coding-and-securite-pourquoi

📅 18/05 à 12h07 il y a 6j
✓ Publié 18/05 à 12h07
💡 Standalone #1 posted
230 chars
Sans lien · Matin 7h30–9h · 70% du mix

Un dev vibe-code sa MFA avec Cursor. Ça marche. Les tests passent. 3 semaines après, audit : bypass complet en 5 étapes avec Burp. L'IA produit du code plausible qui *ressemble* à de la sécu — sans modèle de menace derrière.

📅 13/05 à 08h05 il y a 11j
✓ Publié 13/05 à 08h05
💬 Standalone #2 posted
237 chars
Sans lien · Matin 7h30–9h · 70% du mix

Chaque fois qu'un dev demande à l'IA "sécurise ce code", il crée une nouvelle surface d'attaque. Pourquoi ? Parce que l'IA n'a aucun modèle de menace. Elle répond à "implémente MFA", pas à "comment un attaquant contourne cette MFA ?".

📅 20/05 à 08h09 il y a 4j
✓ Publié 20/05 à 08h09
🔥 Provoc posted
256 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Les devs qui vibe-codent leur sécu sont plus dangereux que les non-devs qui vibe-codent des apps. Pourquoi ? Parce qu'ils déploient en prod des features de sécu bypassables — en pensant avoir sécurisé. L'IA hallucine de la sécu. Vous, vous certifiez.

📅 22/05 à 18h41 il y a 2j
✓ Publié 22/05 à 18h41