62% du code généré par IA
contient des vulnérabilités.
Lovable, Bolt, Cursor, v0 : ces outils génèrent du code fonctionnel mais pas sécurisé. Les politiques RLS manquantes, les règles Firestore permissives et les buckets publics sont les failles #1 des apps "vibe-codées". Nous les trouvons en heures.
Ce que nous auditons
Politiques RLS (Supabase)
Vérification de chaque table : SELECT, INSERT, UPDATE, DELETE. Les apps générées par IA oublient systématiquement les politiques de lecture et suppression.
Règles Firestore (Firebase)
Analyse des règles de sécurité Firestore : accès cross-utilisateur, collections non protégées, règles trop permissives sur les sous-collections.
Storage buckets
Les buckets Supabase Storage et Firebase Storage sont-ils publics ? Nous vérifions les politiques d'accès sur chaque bucket contenant des fichiers utilisateurs.
Fonctions RPC & Edge Functions
Les fonctions serveur exposées sont-elles authentifiées ? Vérification des RPC Supabase et des Cloud Functions Firebase sans contrôle d'accès.
Contournement d'authentification
Auto-confirm activé, disable_signup contourné, vérification email absente : les erreurs de configuration auth qui permettent l'accès non autorisé.
Clés API exposées
Clés anon Supabase avec permissions excessives, clés Firebase dans le code source, service keys dans le JavaScript frontend.
Idéal pour
- Applications construites avec Lovable, Bolt, Cursor ou v0
- Startups ayant lancé leur MVP sur Supabase ou Firebase sans audit sécurité
- Équipes non-techniques ayant utilisé des outils no-code/low-code
- SaaS en pré-lancement cherchant à sécuriser avant les premiers clients
- Applications manipulant des données utilisateurs sensibles (santé, finance, éducation)