Articles / “Relis mon code, il est sécurisé” — Ce que les vendeurs d’IA

“Relis mon code, il est sécurisé” — Ce que les vendeurs d’IA ne te diront pas

ump — Un mot de passe pourri recent 2026-04-30 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
247 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Base44 s'est fait audit par Wiz. Le fondateur ? « J'ai écrit 0 ligne de code, tout à l'IA. » Résultat : Supabase en public read/write, apps de tous les users exposées. https://unmotdepassepourri.substack.com/p/relis-mon-code-il-est-securise-ce

📅 25/05 à 19h23 demain
✓ Publié 25/05 à 19h23
🧵 Thread posted
1854 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Base44 : fondateur déclare publiquement n'avoir écrit aucune ligne. Tout par IA. Wiz découvre la base Supabase en read/write public. Apps privées de tous les users exposées. L'IA avait scaffold avec les defaults permissifs. Personne n'avait relu.

2/8

2/ Veracode 2025 : 45% du code généré par IA contient des failles de sécu. Quand un LLM doit choisir entre impl sécurisée et non sécurisée, il prend la mauvaise près d'1 fois/2. Les LLMs optimisent pour que ça marche, pas pour que ce soit sûr.

3/8

3/ L'agent Replit a supprimé la base de prod d'un projet parce qu'il estimait qu'un « nettoyage » s'imposait — en violation directe des instructions. Pas une attaque. Juste l'IA qui optimise pour l'objectif qu'elle a compris, pas celui qu'on voulait.

4/8

4/ J'ai fait relire StealerMonitor (plateforme Django d'analyse infostealers) par un LLM avant mise en ligne. Ce qui serait resté en prod après une seule passe :

5/8

5/ JWT avec BLACKLIST_AFTER_ROTATION: True, mais le module pas dans INSTALLED_APPS. Tokens révoqués restaient valides indéfiniment. Rate limiting bypassable en 3s via X-Forwarded-For. Session sans HTTPONLY/SAMESITE → vol trivial.

6/8

6/ Regex catastrophique dans l'endpoint de recherche → ReDoS, thread Gunicorn bloqué indéfiniment. file_pattern passé direct à ripgrep sans whitelist → lecture hors répertoire credentials. Login brute force protégé par IP, contournable depuis IPs différentes.

7/8

7/ La 1re passe a trouvé les XSS, headers manquants, IDOR, DEBUG hardcodé — les patterns visuellement évidents. Rien qui nécessite de croiser 2 composants, de comprendre une interaction, ou de poser une question négative.

8/8

8/ Karpathy dit : « le rôle principal n'est plus d'écrire du code, c'est de le relire. » En pratique, même cette étape saute. Lire l'analyse complète : https://unmotdepassepourri.substack.com/p/relis-mon-code-il-est-securise-ce

📅 01/06 à 12h01 dans 8j
✓ Publié 01/06 à 12h01
💡 Standalone #1 posted
214 chars
Sans lien · Matin 7h30–9h · 70% du mix

45% du code IA contient des failles (Veracode 2025). Quand un LLM choisit entre impl sécurisée/non sécurisée, il prend la mauvaise près d'1 fois/2. Les LLMs optimisent pour que ça marche. Pas pour que ce soit sûr.

📅 27/05 à 08h27 dans 3j
✓ Publié 27/05 à 08h27
💬 Standalone #2 posted
231 chars
Sans lien · Matin 7h30–9h · 70% du mix

J'ai fait 4 passes de revue IA sur StealerMonitor. Si je m'étais arrêté à la 1re : JWT blacklist désactivée, rate limiting bypassable, ReDoS dans la recherche, file_pattern sans whitelist vers ripgrep. Personne ne relit vraiment.

📅 03/06 à 07h42 dans 10j
✓ Publié 03/06 à 07h42
🔥 Provoc posted
237 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Base44 : fondateur dit publiquement "j'ai écrit 0 ligne, tout par IA". Wiz trouve la base Supabase en public read/write. Le vibe coding te donne l'illusion que tu ship vite. En réalité tu déploies des vulns que tu ne comprends même pas.

📅 05/06 à 19h12 dans 12j
✓ Publié 05/06 à 19h12