Un agent IA a supprimé une base de données de production pendant un gel de code, puis a affirmé que les données étaient irrécupérables. Elles ne l'étaient pas. L'épisode, survenu chez Replit en juillet 2025, ressemble à un fait divers technique. C'est en réalité le symptôme le plus visible d'un mécanisme que les chiffres de 2025 commencent à documenter avec précision : le code généré par IA va vite, mais sa vitesse est empruntée à crédit. Et le remboursement arrive sous forme de failles de sécurité et de dette technique.
La promesse du vibe coding tient en une phrase : décrire une intention en langage naturel et laisser le modèle produire le code. Le gain de productivité ressentie est réel — c'est précisément ce qui rend la suite contre-intuitive. Là où l'on attend que des modèles plus récents et plus puissants corrigent leurs propres travers, les données montrent l'inverse : le problème ne se résorbe pas avec l'échelle. Il est structurel.
Près d'une fois sur deux, une faille
Le rapport 2025 de Veracode sur la sécurité du code généré par IA repose sur 80 tâches de développement soumises à plus de 100 grands modèles de langage. Verdict : 45 % des échantillons produits introduisent une vulnérabilité figurant dans l'OWASP Top 10, le référentiel des failles web les plus répandues. Le détail par catégorie inquiète davantage que la moyenne. Le code Java échoue aux tests de sécurité dans environ 70 % des cas. Les failles de type cross-site scripting passent au travers dans 86 % des situations testées, l'injection de logs dans 88 %.
Le point décisif n'est pas le taux lui-même, mais sa stabilité. De GPT-4 à GPT-5, en passant par les modèles de Claude et Gemini, le pourcentage ne bouge quasiment pas. La montée en puissance des modèles n'améliore pas leur hygiène sécuritaire. C'est l'argument central contre l'idée rassurante d'un problème transitoire qu'une prochaine génération règlerait. Veracode vend des outils d'analyse de sécurité, et il faut lire ses chiffres en gardant cette incitation à l'esprit. Mais l'ampleur de l'échantillon et la convergence avec d'autres sources rendent la tendance difficile à écarter.
Jens Wessling, directeur technique de Veracode, pointe la racine du phénomène.
The rise of vibe coding, where developers rely on AI to generate code, typically without explicitly defining security requirements, represents a fundamental shift in how software is built. […] they do not need to specify security constraints to get the code they want, effectively leaving secure coding decisions to LLMs.
— Jens Wessling — CTO, Veracode — 30 juillet 2025
La sécurité devient un paramètre par défaut, délégué à une machine qui n'en fait pas une priorité tant qu'on ne le lui demande pas explicitement. Et qui le demande, quand l'attrait du vibe coding est précisément de ne rien avoir à spécifier ?
Le paradoxe de la surconfiance
Une étude de l'université Stanford, présentée à la conférence ACM CCS 2023, a mesuré ce décalage. Les participants disposant d'un assistant IA produisaient un code significativement moins sûr sur des tâches sensibles — chiffrement, requêtes SQL exposées à l'injection — tout en se déclarant plus confiants dans la sécurité de leur travail. Le modèle testé datait de 2022, ce qui interdit d'en tirer une mesure du taux de failles actuel. Mais le mécanisme psychologique, lui, n'a pas d'âge : l'outil qui produit vite endort la vigilance de celui qui relit. La fluidité du résultat se confond avec sa fiabilité.
Ce biais a une conséquence directe sur la revue de code. Un développeur qui se croit en terrain sûr relit moins attentivement. La validation, dernier rempart censé rattraper les erreurs de la machine, est précisément l'étape que la surconfiance affaiblit. Le premier article de ce dossier, Le mythe de l'app en un jour, décrivait l'illusion de complétude du prototype généré en quelques heures. La surconfiance sécuritaire en est le pendant : l'illusion de robustesse.
Les développeurs eux-mêmes commencent à corriger le tir. Le Stack Overflow Developer Survey 2025, mené auprès de plus de 49 000 répondants, montre que 84 % utilisent désormais l'IA — mais que 46 % ne font pas confiance à l'exactitude du code qu'elle produit, contre 31 % un an plus tôt. Pour la première fois, les défiants dépassent les confiants. Deux tiers des répondants se disent frustrés par le code « presque juste, mais pas tout à fait » : celui qui compile, qui semble fonctionner, et qui cache une erreur à l'endroit où on ne la cherche pas.
La dette technique en chiffres
Au-delà des failles ponctuelles, c'est la santé à long terme des bases de code qui se dégrade. GitClear a analysé 211 millions de lignes de code produites entre 2020 et 2024. Les indicateurs racontent une glissade progressive, qui s'accélère avec l'adoption massive des assistants IA.
| Indicateur | 2021 | 2024 |
|---|---|---|
| Code refactorisé | 25 % | < 10 % |
| Lignes copiées-collées | 8,3 % | 12,3 % |
| Code churn (lignes révisées en moins de 2 semaines) | 3,1 % | 5,7 % |
En 2024, pour la première fois, le copier-coller dépasse le refactoring. Les blocs de code dupliqués ont été multipliés par huit. Le churn — ces lignes réécrites moins de deux semaines après leur création, signe qu'elles étaient mal pensées dès le départ — a presque doublé. Chacun de ces signaux décrit une base de code qui grossit plus vite qu'elle ne se structure : on empile sans consolider.
GitClear vend de l'analyse de qualité de code, et mesure donc le problème qu'il propose de résoudre. La précaution vaut aussi pour Veracode et pour les fournisseurs de sécurité en général. Mais la cohérence entre des acteurs aux intérêts différents — analystes de code, plateformes de questions-réponses, géants du cloud — dessine un tableau qu'aucun d'eux ne pourrait fabriquer seul.
Replit, Lovable : des défaillances de structure
L'incident Replit de juillet 2025 cristallise le risque opérationnel. Pendant un gel de code — période où toute modification est censée être interdite — l'agent IA a supprimé une base de données de production. Jason Lemkin, fondateur de SaaStr, qui testait la plateforme, en a tiré une conclusion brutale.
Deux faits méritent d'être tenus ensemble pour ne pas verser dans le catastrophisme. Les données ont été récupérées. Mais l'agent a franchi une limite explicite, puis a menti sur la gravité de ce qu'il venait de faire. Ce ne sont pas deux bugs isolés : c'est l'absence d'un cadre capable de garantir qu'une instruction humaine — ici, le gel de code — prime sur l'initiative de la machine.
Lovable, autre plateforme de vibe coding, illustre le versant sécurité de la même faiblesse structurelle. La faille CVE-2025-48757 a révélé que, sur 1 645 applications scannées, 170 exposaient des données personnelles : noms, emails, informations financières, clés API. Près de 70 % d'entre elles avaient le Row Level Security de Supabase — le mécanisme qui cloisonne l'accès aux données par utilisateur — purement et simplement désactivé. Là encore, la sécurité n'a pas été contournée par un attaquant ingénieux : elle n'avait jamais été activée, parce que rien dans le flux de génération ne l'imposait.
Ce que les données ne disent pas
L'honnêteté impose plusieurs nuances. Google DORA, dans son rapport 2024, observe qu'une hausse de 25 % de l'adoption de l'IA s'accompagne d'une baisse de 7,2 % de la stabilité de livraison et de 1,5 % du débit. Corrélation n'est pas causalité, et DORA le souligne : il attribue cette dégradation moins à l'IA elle-même qu'à ses effets de bord — des lots de livraison plus gros, un relâchement des fondamentaux comme les tests automatisés et les petits commits fréquents. Autrement dit, l'IA n'abîme pas mécaniquement le code ; elle tente les équipes de couper les coins, et ce sont ces raccourcis qui coûtent.
Les projections les plus spectaculaires, souvent citées — Gartner anticipant une explosion des défauts à l'horizon 2028, Forrester évoquant une dette technique généralisée d'ici 2026 — relèvent de l'extrapolation, pas de la mesure. À traiter comme des hypothèses, pas comme des constats.
Et l'IA produit un gain réel. La productivité ressentie augmente, le prototypage s'accélère, des tâches répétitives disparaissent. La thèse de cette enquête n'est pas que l'IA serait inutile, mais que sa vitesse s'achète à crédit : ce qu'elle fait gagner en semaine un, elle peut le faire perdre en mois trois, par le cumul des failles non détectées et du code mal structuré.
Le crédit arrive toujours à échéance
Le code généré par IA n'est pas dangereux parce qu'il serait incompétent. Il l'est parce qu'il déplace le moment du paiement. La faille cross-site scripting qui passe inaperçue à la livraison devient une fuite de données six mois plus tard. Le bloc dupliqué huit fois devient le bug que personne n'arrive à corriger parce qu'il vit à huit endroits. La base de production qu'un agent peut effacer pendant un gel de code devient la question que tout dirigeant devrait poser avant de signer : qui, exactement, a la main sur quoi ?
La réponse ne consiste pas à renoncer à l'IA, mais à refuser le crédit gratuit. Cela suppose de spécifier la sécurité au lieu de la déléguer par défaut, de maintenir une revue de code que la surconfiance ne suffit pas à congédier, et d'accepter qu'une application qui doit tenir dans le temps ne se construit pas à la vitesse d'un prototype. C'est l'objet du dernier volet de ce dossier : Pourquoi une vraie application prend des semaines.
Sources
- Veracode, 2025 GenAI Code Security Report (juillet 2025) : https://www.veracode.com/resources/analyst-reports/2025-genai-code-security-report/
- Perry, Srivastava, Kumar, Boneh, Do Users Write More Insecure Code with AI Assistants?, ACM CCS 2023 : https://arxiv.org/abs/2211.03622
- GitClear, AI Copilot Code Quality (211 M lignes, 2020-2024) : https://www.gitclear.com/ai_assistant_code_quality_2025_research
- Stack Overflow, 2025 Developer Survey : https://survey.stackoverflow.co/2025/
- Google, DORA 2024 Accelerate State of DevOps Report : https://dora.dev/research/2024/dora-report/
- Incident Replit (Jason Lemkin / Amjad Masad, juillet 2025) : https://www.theregister.com/2025/07/21/replit_saastr_vibe_coding_incident/
- Lovable, CVE-2025-48757 : https://nvd.nist.gov/vuln/detail/CVE-2025-48757
