Depuis fin 2025, les chutes de sites web s’enchaînent en France. Sites institutionnels, e-commerce ou encore plateformes liées aux élections municipales : aucun secteur n’est épargné comme le démontre Fuites Infos. En cause, une adoption massive et parfois incontrôlée de l’IA par les développeurs. Après 15 ans d’expérience en développement PHP et en gestion de projets web, le constat est clair : l’IA est devenue un risque majeur pour la sécurité et la souveraineté numérique.

 

L’IA dans le développement : un usage massif devenu problématique

Aujourd’hui, une grande partie des développeurs juniors comme seniors utilisent l’IA au quotidien. Création de sites, SaaS, automatisation, traitement de données : tout y passe. Le problème, c’est que cet usage est devenu systématique, parfois sans recul. L’IA est utilisée pour générer du code, manipuler des données clients ou gérer des tâches internes sensibles.

Or, la majorité des outils utilisés sont américains, avec quelques exceptions comme Mistral en Europe, et des alternatives chinoises comme DeepSeek. Cela pose un vrai problème de souveraineté. 

Les plateformes comme Gemini ou ChatGPT indiquent clairement dans leurs conditions que les données peuvent être utilisées pour l’entraînement ou faire l’objet de relectures humaines comme Gemini. En clair : toute donnée envoyée peut potentiellement être exploitée.

 

Conditions de confidentialité GEMINI
Conditions de confidentialité de Gemini

 

Tokens, clés API : une fuite massive facilitée par l’IA

C’est aujourd’hui l’un des problèmes les plus graves, de nombreux développeurs copient-collent directement dans les IA :

  • Des tokens
  • Des clés API
  • Des fichiers .env
  • Des accès sensibles

Selon plusieurs retours observés, des fuites ont déjà été identifiées via des outils comme Gemini ou Claude comme l'indique Korben. Le problème est simple, le projet est compromis avant même sa mise en production.

On parle ici de projets parfois vendus plusieurs milliers d’euros, avec des clés exposées dès la phase de développement. Un bearer token, censé être strictement confidentiel, se retrouve intégré dans des systèmes externes ou bien piraté pour faire exploser la facturation de son utilisation.

En théorie, ces données ne doivent jamais sortir. En pratique, elles sont envoyées directement à des IA. Voici un exemple ci-dessous avec Gemini, avec une demande factice.

 

image gemini

image gemini

 

Open source, IA et copier-coller : une combinaison à risque

Les outils open source facilitent énormément le travail des développeurs et des administrateurs système. Mais ils impliquent aussi des responsabilités. Certains projets comme WolfStack proposent des solutions avancées de gestion serveur. Mais ces outils précisent eux-mêmes qu’ils ne garantissent pas une sécurité totale, comme indiqué dans le footer sticky, comme le montre la capture d’écran ci-dessous.

Le problème vient des utilisateurs :

  • Copie directe de code sans compréhension
  • Intégration brute dans des projets en production
  • Absence de vérification des dépendances

L’IA accentue ce phénomène en générant du code prêt à l’emploi, souvent utilisé sans audit. Résultat : des failles intégrées dès le départ.

 

image du site WolfStack

 

Sécurité IA : les bonnes pratiques indispensables pour les développeurs

Face à ces risques, certaines règles doivent être appliquées immédiatement :

Ne jamais envoyer :

  • Tokens
  • Clés API
  • Fichiers .env
  • Données clients

Toujours :

  • Régénérer les clés après usage avec une IA
  • Auditer le code généré
  • Vérifier les dépendances

Ne jamais :

  • Traiter des données sensibles via IA
  • Exposer des informations internes

Toute donnée envoyée à une IA est potentiellement partagée.

 

L’IA ne fait pas tout

Petite pensée à un ami qui a récemment tenté l’expérience de développer un plugin WordPress avec Claude Opus 4.6, avec 1 million de tokens en contexte, pour un total de 62 € d’utilisation, pour obtenir au final un produit inutilisable… Bien tenté !

image bug plantage ia wordpress

 

IA et développement : une vigilance devenue obligatoire

L’IA reste un outil puissant, mais son utilisation actuelle expose directement les projets, les entreprises et les utilisateurs. Entre fuite de données, mauvaise utilisation et absence de contrôle, les risques sont bien réels. En 2026, la question n’est plus de savoir si l’IA est utile, mais comment l’utiliser sans compromettre la sécurité.

 

Sources: Korben, Gemini, Fuites Infos