Plateforme Lovable : des données utilisateurs et historiques de chat IA exposés

Une faille de sécurité majeure sur Lovable

Un chercheur en cybersécurité a découvert que la plateforme de vibe-coding Lovable exposait les données sensibles de ses utilisateurs. Selon un rapport publié sur X (ex-Twitter) par l’utilisateur @weezerOSINT, les historiques de chat avec les modèles d’IA, les codes sources, les identifiants de base de données et d’autres informations clients étaient accessibles via l’API de la plateforme.

Dans un message publié le 20 avril 2026, le chercheur a partagé une capture d’écran montrant l’accès à un projet utilisateur, incluant des extraits de conversations avec l’IA et des données sensibles. Il a également mentionné un ticket non résolu signalant cette faille.

« J’ai créé un compte Lovable aujourd’hui et j’ai pu accéder au code source d’un autre utilisateur, aux identifiants de sa base de données, aux historiques de chat avec l’IA et aux données clients. Tout cela était lisible depuis un compte gratuit. »

Une enquête accélérée grâce à l’IA

@weezerOSINT a indiqué à Fast Company que la découverte de cette faille a pris seulement 30 minutes grâce à l’utilisation du modèle xAI Grok 4.2. Sans l’IA, une telle investigation aurait pu prendre des heures, voire des jours.

Le chercheur avait signalé le problème via HackerOne, une plateforme spécialisée dans la gestion des vulnérabilités, dès le mois de mars 2025. Pourtant, Lovable n’a reconnu la faille qu’en avril 2026.

Réponse de Lovable et mesures correctives

Dans un premier temps, Lovable a affirmé sur X qu’aucun « vol de données » n’avait eu lieu, précisant que l’exposition du code source était un comportement « intentionnel ». L’entreprise a expliqué que les projets marqués comme « publics » étaient conçus pour être visibles par d’autres utilisateurs.

Cependant, cette explication ne couvrait pas l’exposition des historiques de chat et des prompts avec les modèles d’IA, qui étaient également accessibles jusqu’à récemment. Lovable a finalement corrigé la faille en désactivant l’accès aux chats des projets publics via son API.

« Nous avons également corrigé rétroactivement notre API pour empêcher l’accès aux chats des projets publics, quel que soit le paramètre. Malheureusement, en février 2025, lors d’une mise à jour des permissions backend, nous avons accidentellement réactivé l’accès aux chats des projets publics. »

L’entreprise a présenté des excuses pour sa réponse initiale jugée insuffisante et a clarifié la définition d’un projet public sur sa plateforme.

Un signalement ignoré par HackerOne ?

Lovable a révélé que le ticket ouvert par @weezerOSINT sur HackerOne avait été fermé, car ses partenaires considéraient que l’accès aux chats des projets publics était un comportement « prévu ». Pourtant, cette interprétation a contribué à retarder la résolution du problème.

En tant que plateforme de vibe-coding, Lovable utilise les prompts en langage naturel pour générer du code, ce qui en fait une cible privilégiée pour ce type de vulnérabilités.

Conséquences et recommandations

Cette faille soulève des questions sur la sécurité des plateformes utilisant l’IA pour le développement logiciel. Les utilisateurs de Lovable sont invités à vérifier les paramètres de visibilité de leurs projets et à s’assurer que leurs données sensibles ne sont pas exposées.

L’entreprise a promis d’améliorer sa documentation et ses processus de sécurité pour éviter de futures expositions.