Une grave vulnérabilité d’autorisation sur la plateforme Lovable, un constructeur d’applications populaire alimenté par l’intelligence artificielle, a permis à des utilisateurs non autorisés d’accéder à des données sensibles de nombreux projets. Selon des rapports, ce défaut critique, classé comme Broken Object Level Authorization, affecte tous les projets créés avant novembre 2025, exposant des informations confidentielles telles que le code source, les identifiants de bases de données et les journaux d’interaction des clients.
Changez vos mots de passe maintenant
Cette vulnérabilité se présente lorsqu’une API accorde l’accès à des objets sans vérifier si l’utilisateur demandeur a réellement l’autorisation de les visualiser. Des recherches récentes ont révélé que les utilisateurs avec des comptes gratuits peuvent effectuer des appels API non authentifiés à la plateforme et récupérer des données de projets d’autres utilisateurs. Parmi les informations exposées, on a trouvé des identifiants de bases de données et des données clients, liant des organisations comme Connected Women in AI et Accenture, ainsi que des employés de Nvidia et Microsoft.
Le problème a été signalé à Lovable via HackerOne environ 48 jours avant sa divulgation publique le 3 mars 2026, mais aucun correctif n’a encore été mis en œuvre pour les projets plus anciens. Bien que la plateforme ait appliqué des corrections pour les nouveaux projets, le risque pour les applications existantes reste critique, laissant de nombreux utilisateurs vulnérables.
Les experts avertissent les utilisateurs de projets anciens qu’ils devraient changer d’urgence leurs clés API et leurs identifiants, en supposant que leurs informations pourraient déjà avoir été compromises. Cette situation souligne un défi récurrent sur les plateformes de développement natives de l’IA : les mesures de sécurité sont souvent insuffisantes par rapport au déploiement rapide de nouvelles fonctionnalités, laissant les premiers adoptants de ces technologies dans une position dangereuse.