Un praticien médical suisse a construit son propre logiciel de gestion de patients à l'aide d'un agent IA, sans la moindre compétence en développement. Résultat : données personnelles en accès libre sur internet, enregistrements vocaux envoyés à des services tiers, violations probables du droit suisse. Ce cas, loin d'être isolé, illustre une tendance lourde : le vibe coding démocratise la création logicielle tout en industrialisant les catastrophes de sécurité.Tout a commencé par une vidéo YouTube. Ou du moins quelque chose d'équivalent. Un professionnel de santé suisse, dont l'identité n'a pas été divulguée, tombe sur un contenu qui lui explique qu'avec l'IA, n'importe qui peut désormais construire ses propres logiciels. Séduit par la promesse, il ouvre un agent de génération de code, lui décrit ce dont il a besoin, et quelques heures ou quelques jours plus tard, un système de gestion de patients maison tourne en production sur internet.
C'est Tobias Brunner, ingénieur informaticien suisse, qui raconte l'histoire dans un billet publié fin mars 2026 sur son blog personnel. Lors d'un rendez-vous médical, son praticien lui mentionne avoir regardé une vidéo expliquant à quel point il est désormais facile pour n'importe qui de créer des logiciels avec l'IA. L'idée lui est venue : pourquoi utiliser une solution éprouvée quand on peut simplement construire la sienne ?
Il a donc fait exactement cela. Il a lancé un agent de programmation, développé une application personnalisée de gestion de patients, importé toutes ses données existantes, et l'a publiée sur internet. Il a même ajouté une fonctionnalité pour enregistrer les conversations pendant les consultations et les envoyer à deux services d'IA distincts pour des résumés automatiques.
Brunner, curieux de nature, commence à examiner l'application. En trente minutes, il obtient un accès complet en lecture et en écriture à toutes les données patients. Tout était non chiffré et entièrement exposé sur internet. Il contacte immédiatement le praticien. La réponse reçue est, selon lui, entièrement générée par IA : remerciements chaleureux, assurance d'une « action immédiate » consistant à ajouter une authentification basique et à renouveler quelques clés d'accès.
Cette personne n'avait aucune idée de ce qu'elle avait construit ni des conséquences possibles. Les données n'étaient pas seulement exposées : elles étaient stockées sur un serveur américain sans accord de traitement des données, les enregistrements vocaux étaient envoyés à des sociétés d'IA américaines, et les patients n'avaient jamais été informés de rien de tout cela.
Anatomie d'une application construite sur du sable
La description technique du système est édifiante. L'ensemble de l'application tenait dans un seul fichier HTML avec tout le JavaScript, le CSS et la structure écrits directement dans le fichier. Le backend était un service de base de données géré avec zéro contrôle d'accès configuré, aucune sécurité au niveau des lignes. Toute la logique de contrôle d'accès vivait dans le JavaScript côté client, ce qui signifie que les données étaient littéralement accessibles à quiconque regardait, avec une simple commande curl.
C'est l'erreur de débutant la plus fondamentale qui soit en développement web : confier la sécurité au code exécuté dans le navigateur de l'utilisateur, code que n'importe qui peut lire, modifier ou contourner. Aucun développeur professionnel ne ferait ça. Un agent IA à qui l'on demande de « faire fonctionner l'application » sans contraintes de sécurité explicites, si.
Du point de vue juridique, les conséquences potentielles sont sévères. Le praticien a presque certainement violé plusieurs dispositions de la loi nLPD (la loi suisse sur la protection des données, révisée et entrée en vigueur en 2023) et potentiellement les lois sur le secret professionnel (Berufsgeheimnis).
Un phénomène systémique, pas un accident isolé
Ce récit suisse n'est pas une anomalie. Il est symptomatique d'une tendance documentée et en accélération rapide. Le laboratoire SSLab de Georgia Tech a lancé en mai 2025 le « Vibe Security Radar » pour surveiller les CVE directement causés par du code généré par IA. Les chiffres de mars 2026 sont éloquents : 35 CVE directement attribuées à du code généré par IA, contre 15 en février et 6 en janvier.
Le cas du cabinet médical suisse fait écho à une affaire plus médiatisée survenue en février 2026. Moltbook, un réseau social pour agents IA dont le fondateur avait publiquement déclaré n'avoir « écrit pas une seule ligne de code », a vu la société de cybersécurité Wiz découvrir une base de données Supabase mal configurée exposant 1,5 million de jetons d'authentification et 35 000 adresses e-mail, entièrement accessibles depuis internet. La cause était identique : un agent IA avait configuré la base de données avec des permissions larges lors du développement, et personne n'avait vérifié avant le déploiement.
Ami Luttwak, cofondateur et directeur technique de Wiz, a résumé le problème lors de la conférence RSAC 2026 : « Quand quelqu'un qui n'est pas technique crée cette application formidable, souvent il ne pense pas à la sécurité et ne sait même pas ce qu'il y a dedans parce qu'il ne l'a pas créée lui-même. »
L'IA optimise pour « ça marche », pas pour « c'est sûr »
Le problème central du vibe coding n'est pas que les modèles de langage génèrent délibérément du code dangereux. C'est qu'ils optimisent pour la...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
Envoyé par MisterMoa
).