● Korben 📅 22/04/2026 à 07:23

« C'est le comportement attendu » : faille critique et com' désastreuse, la triple faute de Lovable - Korben

OSINT 👤 Vincent Lautier
🏷️ Tags : osint rte
Illustration
« C'est le comportement attendu » : faille critique et com' désastreuse, la triple faute de Lovable22 avril 2026 / PAR VINCENT LAUTIER / 2 MIN DE LECTURE /Catégories connexesCe qu’il faut retenirUne faille BOLA sur Lovable a exposé les identifiants, historiques de chat et code source de tous les projets créés avant novembre 2025, découverte par un chercheur en sécurité qui l'a signalée via HackerOne début mars.HackerOne a fermé le rapport en estimant que l'accès aux données était "le comportement attendu", alors qu'il s'agissait de données privées, laissant la faille active pendant six mois.Lovable a d'abord justifié l'incident comme "intentionnel" et "manque de clarté documentaire", puis a rétropédalé en accusant HackerOne, tout en reconnaissant que sa première communication n'adressait pas correctement l'erreur.Résumé généré par IALovable, l'étoile montante du vibe coding (vous savez, ces plateformes où vous décrivez une app en langage naturel et une IA vous génère le code), traverse un sale moment.Un chercheur en sécurité, répondant au doux pseudo de @weezerOSINT, a découvert une faille BOLA (Broken Object Level Authorization) qui permettait à n'importe qui de lire les identifiants, les historiques de chat et le code source de tous les projets créés avant novembre 2025 sur la plateforme.Bienveillant, le chercheur a envoyé son rapport via HackerOne début mars. Le rapport a été fermé, au motif que les partenaires HackerOne estimaient que l'accès aux chats de projets publics était en fait "le comportement attendu".Sauf qu'il ne s'agissait pas de projets publics mais de données privées, c'est ballot. Six mois de données se sont retrouvées exposées pendant que le ticket dormait.Quand l'info est remontée publiquement, la société Lovable a d'abord sorti un premier communiqué. Voilà la version officielle : "c'est du comportement intentionnel" et "notre documentation manquait de clarté". Oui alors bof comme explication...La gronde est donc montée, en particulier du côté des boîtes comme Uber, Zendesk ou Deutsche Telekom qui utilisent Lovable et se sont retrouvées à devoir expliquer à leurs équipes sécurité ce que faisait leur code source sur une plateforme, à cause de contrôles d'accès défaillants.Il y a donc eu un second communiqué, avec un rétropédalage complet. Lovable reconnaît désormais que le premier post "n'adressait pas correctement notre erreur" et pointe désormais HackerOne comme responsable du fait que la faille n'ait pas été corrigée plus tôt...On est donc là sur une stratégie de com qui consiste à balancer sous le bus son propre prestataire de bug bounty, alors que HackerOne n'est que le canal de réception des rapports.Le vrai sujet dans tout ça, c'est qu'une plateforme qui propose de générer du code à la volée pour des clients enterprise aurait dû avoir des contrôles d'autorisation de base depuis le premier jour. Le vibe coding est une très belle promesse commerciale, mais les boîtes qui hébergent les projets générés doivent gérer la sécurité comme les vrais hébergeurs cloud.Ce genre d'incident rappelle que la vitesse de génération ne remplace pas les fondamentaux... Bref, on est là sur une triple faute : vulnérabilité de base, gestion du rapport cassée, com de crise désastreuse.Source : The RegisterRéférenceshttps://www.theregister.com/2026/04/20/lovable_denies_data_leak/Cet article peut contenir des images générées à l'aide de l'IA - J'apporte le plus grand soin à chaque article, toutefois, si vous repérez une boulette, faites-moi signe !Vous avez aimé cet article ?Alors rejoignez ma communauté sur Patreon et accédez à des articles exclusifs, des tutos avancés et plein d'autres surprises que je réserve à mes soutiens. C'est grâce à vous que je peux continuer à partager ma passion depuis 20 ans !Rejoindre l'aventure Que faire après le bac quand on est passionné de cybersécurité ?Contenu partenaireEntièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).Guardia CS forme aussi les professionnels à la cybersécurité via plusieurs formations en ligneVoir le site internet de l'école de cybersécurité Guardia CS📬 La newsletter Korben — Un concentré de tech, d'actu et de bidouille dans votre boite mail. S'inscrire
← Retour