Le site de Sarah Knafo (peu importe le bord politique, ça serait celui de Raymond Barre ça serait pareil) s’est fait « pirater », terme poli pour dire que des données personnelles de tous ceux qui avaient laissé un commentaire étaient exposées publiquement sur un endpoint accessible simplement en regardant l’inspecteur réseau.
Un rapide coup d’oeil au code source laisse peu de doute : le site a été entièrement vibecodé (on voit des traces de Vercel, et aucune trace d’un CMS trad style WordPress).
Les acteurs traditionnels du petit milieu du web vont bien sûr, assez légitimement, utiliser l’argument que vibecoder en prod ne peut entraîner que des catastrophes en terme de sécurité.
Pour ma part j’en retire quelques enseignements un peu différents.
Pour mes amis agences web :
On est d’accord, le cas est consternant. Mais vous savez bien que cracher sur les défauts de la concurrence ne rapporte jamais un client.
Le message a tirer de cette histoire, c’est que, pour de vrai, de « gros » acteurs sont prêts à faire vibecoder leurs sites, au moins les sites plaquettes. Le pas est franchi, et il n’y aura pas de retour en arrière. Et ça n’est plus un débat rhétorique sur LinkedIn, c’est votre CA 2026 qui est en jeu.
Juste hurler et défendre le web « fait à l’ancienne » ne suffira pas. Il faut impérativement s’emparer des façons de faire de l’adversaire.
Revoyez en profondeur vos façons de faire. Transformez les réunions projet en sessions de vibecode d’interface avec le client. Bousculez les techs pour qu’ils fournissent aux chefs de projet un sandbox de conception produit full IA, tout en gardant une maîtrise absolue du cadre technique.
Profitez de l’outil pour révolutionner l’expérience client de conception du site, car c’est ça qui les a séduit dans le vibecoding.
Montez de trois crans la quantité et la qualité des livrables, car si vous êtes parfaitement honnête, l’IA délivre bien plus fort que vous ne le faites. Et si vous ne pouvez pas vendre moins cher, délivrez plus.
Le web à la papa-maman est déjà mourant. Et ce n’est pas en crachant sur ce qui arrive ensuite qu’on le ressuscitera.
Pour mes amis vibecoders :
Éclatez vous tant que vous voulez tant qu’il s’agit de sites plaquettes. Je sais qu’il est tentant d’introduire des fonctions dynamiques qui sont à portée de prompt. Mais si vous allez là, il faut absolument savoir ce que vous faites.
Forcez votre LLM à s’appuyer sur des frameworks qui garantiront, au moins partiellement, la sécurité, plutôt que de s’appuyer sur du code 100% from scratch.
Appuyez vous autant que possible sur des outils tiers reconnus.
Challengez le livrable en demandant, sans contexte, à un autre LLM de stresser le site en prod et de le tester autant que possible.
Fournissez à une IA tierce une liste de vos endpoints API et demandez lui de les contrôler.
Passez du temps sur l’inspecteur réseau à regarder passer les data comme des vaches regardent les trains.
Ca sera imparfait, mais au moins ça sauve le pire.
Partager cet article :
Écrit par
Jean David Olekhnovitch
Oldschool developer, Auvergnat & European & Québécois d'adoption. At the crossroad between tech, people and culture. Living on a small Island in Québec