Ton app vibe-codée expose peut-être déjà ses données.

Colle ton URL. En 30 secondes, on te montre exactement ce qui est exposé, et comment corriger. Sans accéder à ton code.

lecture seule aucune donnée copiée hébergé en Suisse

Exemple de rapport

https://mon-app.lovable.app

analyse

Base de données

supabase · rls off

scan

Clé de paiement

stripe · sk_live

scan

Clé administrateur

service_role · client

scan

En-têtes de sécurité

csp · hsts absents

scan

3 critiques1 moyenCNIL · 72 h

Premiers retours, collectés auprès des bêta-testeurs.

« L'avis d'un seul est peu de chose mais le mien est sincère et j'ai trouvé le service impeccable 👌 »

totorun.com

bêta testeurjuin 2026

« Colmate a trouvé des faiblesses que je voyais pas. J'ai corrigé ce qu'il a remonté et c'était réglé. Simple à utiliser, et ça marche en copiant le fichier de correction dans Emergent. »

apps.cleanova-sud.fr

bêta testeurjuin 2026

Ce que n'importe qui peut déjà voir.

Quatre points de contrôle, tous visibles depuis un simple navigateur. Sans la moindre ligne de ton code.

Points de contrôle

04 / 04

Base de données ouverte

CRITIQUE

Tables Supabase lisibles sans authentification (RLS désactivé). N'importe qui lit ta base avec la clé publique. La faille n°1 des apps vibe-codées.

supabase · rls

Clés exposées

CRITIQUE

Clés Stripe, OpenAI ou service_role laissées en dur dans le JavaScript. Un attaquant les trouve en quelques secondes dans le navigateur.

bundle · keys

Code source révélé

MOYEN

Des fichiers de configuration ou des « source maps » accessibles publiquement révèlent la logique de ton app et facilitent les attaques.

.map · exposed

En-têtes manquants

MOYEN

L'absence de protections de base (CSP, HSTS) ouvre la porte au détournement de session et à l'injection de code.

headers · csp

Une base ouverte, ce n'est pas un bug. C'est une violation de données.

Si ta table exposée contient des données personnelles, le RGPD impose une notification à la CNIL sous 72 heures, et les amendes peuvent atteindre 4 % du chiffre d'affaires mondial. On traduit chaque faille en risque concret, sans dramatiser.

10%

des apps Lovable analysées exposaient des tables publiquement

70%

avaient la sécurité par ligne (RLS) entièrement désactivée

72h

pour notifier la CNIL en cas de fuite de données personnelles

De « je ne sais pas » à « c'est corrigé ».

Colle ton URL

On analyse ton app comme un visiteur, uniquement ce qui est déjà public. Rien à installer, pas de dépôt à donner.

Lis le rapport, en clair

Chaque faille est classée par criticité et traduite en risque concret, avec un correctif prêt à coller dans Cursor ou Lovable.

Corrige, puis re-vérifie

Tu corriges, tu relances un scan, tu confirmes que tout est bien réglé. Tu reprends le contrôle.

Bonus, hors sécurité

On repère aussi si ton app a l'air générée par IA.

Une app vibe-codée non retouchée se voit vite. Tes visiteurs le sentent, et ça entame la confiance avant même qu'ils testent ton produit. Rien de grave, juste un signal de crédibilité, facile à corriger.

14 emojis utilisés à la place de vraies icônes
9 tirets cadratins à répétition, la signature des textes écrits par IA
un texte d'exemple resté en place (« Your Company »)
le titre d'onglet par défaut (« Lovable »)

Tarifs

Le scan est gratuit. Tu ne paies que pour le détail et les correctifs.

Scan

Gratuit

Le nombre de failles et leur criticité. De quoi savoir si tu es exposé.

Scanner mon app

Rapport complet

le plus utile

9 € / scan

Le détail de chaque faille, les preuves, le risque RGPD, et le fichier .md de correction.

Obtenir le rapport

Questions fréquentes

Avez-vous besoin de mon code ?

Non. On analyse uniquement ce que ton app expose déjà publiquement, comme n'importe quel visiteur. Tu n'as pas à donner accès à ton dépôt GitHub.

Est-ce que vous copiez mes données ?

Jamais. Pour prouver qu'une table est ouverte, on vérifie l'accès puis on s'arrête. On n'enregistre aucune ligne de ta base, seulement le fait qu'elle soit lisible ou non.

Est-ce légal de scanner mon app ?

Tu scannes ta propre application, ou une application que tu es autorisé à tester. On te le demande avant chaque scan, et on reste en lecture seule sur des informations déjà publiques.

Vous corrigez à ma place ?

Le rapport te donne un fichier de correction prêt à coller dans ton outil IA. Tu l'appliques en un seul prompt.

Tu ne peux pas corriger une faille que tu ne vois pas.

Le scan est gratuit et prend 30 secondes. Tu sauras précisément où tu en es.

Scanner mon app