Vibe coding : magique en démo. Mais votre app peut-elle vraiment scale en production ?
Ecrit par Pierre-Laurent Medori le
Les outils prompt-to-app transforment une idée en démo fonctionnelle avant que votre café ait refroidi, et cette euphorie est bien réelle. Mais entre un prototype vibe-codé et une app que vos utilisateurs téléchargent sur l'App Store se dressent sept murs très concrets : la propriété, le backend, l'authentification, la review des stores, les fonctionnalités natives, la stabilité du code et la conformité. Voici une carte honnête du fossé, dessinée depuis le côté production — quinze ans d'apps natives publiées sur les stores — et comment garder la vitesse de l'IA sans tomber de la falaise.
L'euphorie des cinq minutes est bien réelle

Le 2 février 2025, Andrej Karpathy a donné un nom au phénomène : « Il existe un nouveau genre de programmation que j'appelle le "vibe coding" : on s'abandonne complètement aux vibes, on embrasse les exponentielles, et on oublie jusqu'à l'existence du code. » Neuf mois plus tard, « vibe coding » était élu mot de l'année par le dictionnaire Collins. Peu de termes tech ont voyagé aussi vite — parce que peu d'expériences tech sont aussi grisantes.
Les chiffres racontent la même histoire. Lovable a atteint 100 millions de dollars de revenus récurrents annuels huit mois après son lancement, avec plus de 10 millions de projets créés sur la plateforme. Bolt.new a atteint environ 40 millions de dollars d'ARR en cinq mois environ. Replit a multiplié son chiffre d'affaires par dix en six mois après le lancement de son agent. Des millions de personnes ont tapé une phrase et regardé un logiciel apparaître.
Cette euphorie, nous la comprenons. C'est la même que ressentent nos utilisateurs quand ils décrivent une fonctionnalité et la voient tourner dans leur app. Voir son idée fonctionner — pas maquettée, en marche — change ce qu'on se croit capable de construire. Cette partie-là ne mérite aucune ironie.
Mais Karpathy avait glissé la réserve dans le même post : le vibe coding n'est « pas si mal pour les projets jetables du week-end ». Ceux qui le vivent au quotidien le disent avec moins de retenue. Un créateur sur r/nocode a titré son post « J'ai essayé Bolt.new. Je me suis pris pour un dieu. Puis la réalité m'a giflé. » et résumé la gueule de bois : « D'un coup, le rêve du "codage propulsé par l'IA" s'est mué en "anxiété propulsée par l'IA". »
La démo n'est pas un mensonge. L'erreur, c'est de la lire comme un produit fini.
Les sept murs entre un prototype et les stores
Le vibe coding est-il production-ready ? Pour les prototypes et les outils internes, oui — brillamment. Pour une app publiée sur les stores, avec de vrais utilisateurs et de vraies données, pas à lui seul. Les vraies limites du vibe coding ne sont pas dans le code qu'il écrit ; elles sont dans tout ce que la production exige autour de ce code.
L'industrie du no-code elle-même a commencé à nommer la fracture. Le State of No-Code 2026 de Caspio décrit une IA qui tire le marché dans deux directions à la fois, et conclut par une formule sans détour : « La ligne de partage n'est pas "IA bonne contre IA mauvaise". Elle sépare le jetable du durable » (disposable vs. durable).
Alors, qu'est-ce qui rend un prototype vibe-codé jetable ? Pas la démo — tout ce qui l'entoure. Sept murs, chacun invisible sur l'écran d'un laptop, chacun bien réel le jour où vous tentez de publier. Trois d'entre eux — le code natif, la soumission aux stores et le cycle de vie d'une app — sont si spécifiques au mobile que nous leur avons consacré une analyse complète ; ici, ils prennent leur place dans le tableau d'ensemble.
Mur 1 — Hébergement et propriété
Soyons justes avec ces outils : en général, votre code vous appartient. La documentation de Lovable le dit explicitement, et vous pouvez l'exporter vers GitHub. Ce qui ne vous appartient pas, c'est tout ce dont ce code a besoin pour tourner. Par défaut, votre app vit sur le cloud managé de l'éditeur — Lovable Cloud, l'hébergement Bolt, Vercel — avec un backend, une base de données et une chaîne de build opérés par lui, à ses tarifs, selon ses conditions. Posséder le code source d'une app dont l'infrastructure appartient à quelqu'un d'autre, c'est posséder les plans d'une maison construite sur un terrain loué. La production, c'est quelqu'un qui répond de cette infrastructure pendant des années : disponibilité, sauvegardes, renouvellements, factures. Dans la démo, personne ne s'en charge.
La mutualisation. Une plateforme SaaS fait tourner une seule infrastructure pour toutes ses apps, opérée par une équipe dont le métier, à plein temps, est de la maintenir en ligne — et son coût est intégré à l'abonnement, pas découvert après coup. Toutes les apps que nous avons publiées tournent sur ce modèle depuis le premier jour.
Mur 2 — Backend et données
La couche de données d'un prototype est optimisée pour la démo : elle existe, elle répond, elle fait illusion. Les données de production ont des exigences plus rudes — migrations, sauvegardes, environnements qui séparent les essais de la réalité. En juillet 2025, la leçon a fait les gros titres quand l'agent de Replit a supprimé une base de données de production en plein gel de code explicite, effaçant les fiches de plus de 1 200 dirigeants. Replit a réagi en annonçant la séparation automatique entre bases de développement et de production — comblant un manque que les systèmes de production considèrent comme le minimum syndical.
Et au-delà de la base de données, la production est le territoire des problèmes opérationnels ingrats. L'e-mail transactionnel est le grand classique : un fondateur de SaaS rapportait sur r/SaaS « souvent moins de 50 % de taux de délivrabilité » sur une infrastructure e-mail partagée. Aucun prompt ne répare la délivrabilité.
Un backend né avant votre app. Sur une plateforme managée, la couche de données — migrations, sauvegardes, séparation entre tests et production — a été conçue une fois, par des professionnels, et elle est éprouvée chaque jour par toutes les apps qui y tournent ; notre module e-commerce tourne à lui seul en production pour des milliers de marchands. La plomberie ingrate est le quotidien d'une équipe plateforme, pas votre mauvaise surprise de la troisième semaine.
Mur 3 — Authentification et sécurité
C'est le mur le mieux documenté, parce que les chercheurs ne cessent de le mesurer. L'étude 2025 de Veracode, menée sur plus de 100 modèles, a montré que le code généré par IA introduisait des vulnérabilités du Top 10 OWASP dans 45 % des tâches testées. Un benchmark académique publié en décembre 2025 a mesuré l'écart dans sa version la plus crue : le meilleur agent produisait des solutions fonctionnellement correctes 61 % du temps, mais seulement 10,5 % de ses solutions étaient sécurisées. Et en 2025, une CVE a été déposée pour documenter l'absence de Row-Level Security dans des apps générées par Lovable — le chercheur en sécurité Matt Palmer en a scanné 1 645 et en a trouvé 170 qui exposaient des données, dont des clés API et des informations financières. Quand Escape.tech a scanné plus de 5 600 apps vibe-codées en ligne en octobre 2025, le résultat : plus de 2 000 vulnérabilités et plus de 400 secrets exposés.
Rien de tout cela ne signifie que les modèles sont mauvais. Cela signifie que la revue de sécurité est une exigence de production qu'un prototype, par définition, n'a jamais traversée.
Une sécurité écrite une fois, héritée par tous. L'authentification d'une plateforme, c'est un code unique durci par des années de trafic réel ; quand quelque chose doit être corrigé, le correctif est écrit une fois — déployé côté serveur immédiatement, embarqué dans le prochain build de chaque app. C'est la différence structurelle entre un login maintenu par des ingénieurs et des milliers de logins générés, chacun réinventant seul ses règles d'accès.
Mur 4 — Soumission aux stores
Voici le fait que la plupart des tutoriels de vibe coding passent sous silence : la plupart des outils prompt-to-app construisent des apps web, pas des apps mobiles. La FAQ de Lovable le dit sans détour : « Non, Lovable est centré sur les applications web. » v0 génère du code web déployé sur Vercel. Bolt est l'exception partielle — son intégration Expo génère du vrai code React Native — mais la compilation des binaires, les comptes développeur et la review d'Apple restent entièrement votre problème.
Le contournement le plus souvent suggéré — encapsuler l'app web dans une coquille native — se heurte à la règle 4.2 d'Apple : « Votre app doit proposer des fonctionnalités, du contenu et une interface qui l'élèvent au-delà d'un simple site web reconditionné. » L'expérience de notre équipe publication le confirme : les reviewers testent régulièrement les apps hors ligne ; une coquille qui affiche un écran blanc leur dit tout ce qu'ils voulaient savoir. Et la review ne pardonne pas, même aux vraies apps : Apple rejette environ 42 % des premières soumissions (référence Apple, mesurée sur les apps soumises par notre équipe publication ces 12 derniers mois). Nous avons écrit un guide sur les raisons pour lesquelles Apple rejette des apps, et comment rebondir.
La soumission comme processus industriel. Une plateforme compile des binaires conçus pour passer la review, et quand Apple ou Google relève la barre — nouvelles étiquettes de confidentialité, nouvelles échéances de SDK, nouveaux contrôles de complétude — elle se met à jour une fois, et chaque app qu'elle publie hérite du correctif. Quinze ans de soumissions aux stores, c'est un capital qu'aucun prompt ne peut générer.
Mur 5 — Fonctionnalités natives de l'appareil
Les fonctionnalités qui justifient une app mobile face à un site web sont précisément celles avec lesquelles une app web encapsulée se débat. Les notifications push en sont l'exemple le plus tranchant : sur iOS, le push web ne fonctionne que pour les apps web installées manuellement sur l'écran d'accueil — jamais dans le navigateur. Caméra, mode hors ligne, biométrie : chacune exige des plugins natifs à ajouter, configurer et maintenir à la main, en dehors de tout ce que l'IA a généré. Une démo web « adaptée au mobile » et une app native sont deux espèces différentes qui portent la même interface.
Natif par construction. Sur une plateforme qui compile du vrai Swift et du vrai Kotlin, le push, la caméra, le hors ligne et les retours haptiques sont des composants pré-construits, entretenus à chaque version d'iOS et d'Android — la couche qui donne à une app son allure professionnelle est le point de départ, pas une pièce rapportée.
Mur 6 — Regeneration drift : le code qui se réécrit tout seul
Appelons cela la regeneration drift — la dérive de régénération : chaque nouveau prompt régénère le code dans un contexte légèrement différent, et le correctif d'hier peut disparaître en silence dans la génération d'aujourd'hui. Addy Osmani, engineering lead sur Google Chrome, a nommé le schéma « deux pas en arrière » : « Vous essayez de corriger un petit bug… L'IA propose une modification qui semble raisonnable… Ce correctif casse autre chose. » Les données vont dans le même sens : l'analyse de 211 millions de lignes de code modifiées menée par GitClear a vu les blocs d'au moins cinq lignes dupliquées multipliés par 8 en 2024, et la part du code retouché moins de deux semaines après son écriture a presque doublé depuis 2020. Un code qui ne tient pas en place est un code sur lequel vous ne pouvez rien promettre — surtout pas à un utilisateur qui a trouvé un bug.
Des fondations qui ne bougent pas. Sur une plateforme, l'IA ne génère que la fine couche personnalisée posée sur un socle versionné et testé — l'authentification, le paiement, le CMS, le design system font partie du socle qu'aucun prompt ne régénère jamais. La dérive reste confinée à cette fine couche au lieu de gagner toute votre app : le tunnel de paiement sur lequel vous comptez ne peut pas se réécrire en douce.
Mur 7 — Confidentialité et conformité
Une app publiée porte des obligations légales qu'une démo ne croise jamais. Les étiquettes de confidentialité d'Apple comme le formulaire Data safety de Google Play vous demandent de déclarer quelles données vous collectez, où elles vont et qui les traite — des questions auxquelles une stack vibe-codée ne sait souvent pas répondre, parce qu'un réglage par défaut, quelque part, a placé les données de vos utilisateurs sur une infrastructure que vous n'avez jamais choisie. Le RGPD monte encore la barre : un consentement spécifique et non groupé, une localisation des données que vous pouvez réellement énoncer, une liste de sous-traitants que vous connaissez réellement. Rien de tout cela n'apparaît dans une démo. Tout apparaît lors de la review du store — ou pire, dans une plainte.
La conformité traitée une fois, en amont. Un seul effort juridique et technique au niveau de la plateforme — dans notre cas, toutes les données hébergées en Europe, la gestion du consentement intégrée, la détection automatique des permissions requises par chaque fonctionnalité — sert toutes les apps, et reste à jour quand les règles évoluent. Nos moteurs de compilation vont un cran plus loin : une librairie n'est embarquée dans le binaire que si la fonctionnalité qui l'utilise est activée. Les apps ne se contentent pas de déclarer moins : elles contiennent moins.
Les sept murs du vibe coding — récapitulatif
| Mur | Réflexe du prototype | Exigence de la production | Ce que la plateforme absorbe |
|---|---|---|---|
| Hébergement & propriété | Une app sur le cloud de l'éditeur | Une infra possédée, opérée et payée pendant des années | Une infra mutualisée, opérée par la plateforme |
| Backend & données | Des données qui s'affichent | Migrations, sauvegardes, séparation dev/prod, e-mails qui arrivent | Un backend pré-construit, éprouvé au quotidien |
| Auth & sécurité | Un écran de connexion | Des règles d'accès relues et testées | Une auth écrite une fois ; un correctif pour toutes les apps |
| Soumission aux stores | Une URL web | Un binaire natif signé qui passe la review d'Apple | Des binaires prêts pour la review ; règles absorbées |
| Fonctionnalités natives | Une mise en page d'allure mobile | Push, caméra, hors ligne — une vraie intégration à l'OS | Des composants natifs suivis à chaque version d'OS |
| Stabilité du code | Le build qui marche cette semaine | Un code où le correctif du mois dernier existe encore | L'IA ne touche que la couche personnalisée |
| Conformité | Rien | Consentement RGPD, étiquettes de confidentialité, localisation des données | Hébergement UE + consentement, gérés une fois |
La checklist production-ready : votre app est-elle publiable ?
Sept murs, sept questions. Les réponses « plateforme » ci-dessus sont les nôtres ; ces questions-là sont les vôtres. Posez-les à votre prototype :
- Qui opère l'infrastructure sur laquelle elle tourne — et l'opérera-t-il encore dans deux ans ?
- Où vivent les données, et que se passe-t-il le jour où le schéma doit changer ?
- Quelqu'un qui sait lire du code a-t-il relu l'authentification et les règles d'accès ?
- Peut-elle produire un binaire iOS et Android signé qui passe la review des stores ?
- Peut-elle envoyer une notification push sur un téléphone verrouillé ?
- Pourrez-vous corriger un bug dans six mois sans tout régénérer — et tout recasser ?
- Le parcours de consentement et le traitement des données survivraient-ils à une plainte RGPD ?
Trois « non » (ou « je ne sais pas ») ou plus, et ce que vous avez entre les mains est un prototype. Ce n'est pas un échec — un prototype est un objet réellement utile. Il valide une idée en un après-midi, pour presque rien. L'échec ne tient qu'à la confusion : bâtir un lancement, une base d'utilisateurs et un business sur quelque chose de conçu pour être jetable.
La vitesse de l'IA, sans la falaise
La conclusion n'est pas « évitez l'IA ». Nous utilisons la génération de code par IA tous les jours dans nos propres équipes d'ingénierie — notre CMO le disait déjà en avril 2025, avec la réserve que l'industrie a depuis confirmée : « Sans connaissances en programmation, on peut vite se retrouver dépassé ou bloqué, car l'IA peut créer des incohérences importantes si elle est utilisée sans supervision humaine experte. »
La conclusion, c'est de braquer la vitesse de l'IA sur des fondations qui savent publier. C'est toute la logique de l'AI Extension Builder (actuellement en bêta, disponible pour tous les clients), la réponse de GoodBarber à la question du prompt-to-app : vous décrivez une fonctionnalité en langage naturel, un agent IA la construit — mais il la construit dans une plateforme, contre des API documentées, si bien que le résultat hérite de tout ce qui manque à un prototype. Le design suit automatiquement le design system de votre app. La section est livrée en vrais binaires Swift et Kotlin, via la même chaîne de publication que nous opérons depuis 2011 — avec une équipe publication qui rattrape 91 % des rejets d'Apple en première soumission quand ils surviennent (12 derniers mois).
Les murs 2 et 3 — backend et sécurité — reçoivent le même traitement. Quand une section construite par IA doit stocker des données, l'intégration Supabase crée la structure de base de données pour vous, dans votre propre projet Supabase, sur une infrastructure que vous contrôlez — et chaque table est livrée avec des règles de Row-Level Security par défaut. C'est exactement le mode de défaillance documenté par la CVE Lovable, traité avant même que vous sachiez qu'il fallait poser la question. Et le cœur de la plateforme — hébergement, base de données, notifications push, statistiques et paiements — est inclus dans un seul abonnement : pas de pile de services tiers à assembler, sécuriser et payer séparément. Coût total de possession : environ un dixième d'un développement sur mesure.
Il y a des limites, bien sûr. GoodBarber est conçu pour les apps de contenu et le commerce mobile ; un jeu ou une marketplace très spécifique sort de ce périmètre, et pour ces projets-là, un prototype vibe-codé confié à une équipe de développement est une voie plus naturelle. Dans ce périmètre, en revanche, l'approche plateforme est ce qui transforme la vitesse de l'IA en une app que vous pouvez publier — et faire vivre dans la durée.
La prochaine étape, concrètement :démarrez un essai gratuit, ouvrez une section « Create with AI » et décrivez la fonctionnalité que vous avez vibe-codée le week-end dernier. Les mêmes cinq minutes. Cette fois, le résultat a une chaîne de publication derrière lui.
FAQ
Peut-on publier une app créée en vibe coding sur l'App Store ?
Pas directement, dans la plupart des cas. Lovable et v0 produisent des applications web — il n'y a pas de binaire iOS ou Android à soumettre. Encapsuler l'app web dans une coquille native est possible, mais la règle 4.2 d'Apple rejette les apps qui se résument à « un site web reconditionné ». Bolt peut générer du code React Native via Expo, mais les builds, les comptes développeur et la review des stores restent à votre charge. Les voies fiables : recruter des développeurs pour industrialiser le code, ou reconstruire sur une plateforme qui compile des binaires natifs et gère la soumission. Pour l'analyse complète côté mobile, lisez ce que les outils de vibe coding oublient de vous dire sur les apps mobiles.
Le vibe coding est-il production-ready ?
Pour les prototypes, les outils internes et les projets du week-end — oui, et il y excelle. Pour des apps de production avec de vrais utilisateurs, la réponse mesurée est : pas sans revue d'ingénierie. Le code généré par IA introduit des vulnérabilités de sécurité dans 45 % des tâches testées (Veracode, 2025), et un benchmark académique a trouvé les solutions de son meilleur agent fonctionnellement correctes 61 % du temps, mais sécurisées seulement 10,5 % du temps (arXiv, décembre 2025). Être production-ready, ce n'est pas la question de savoir si le code tourne — c'est l'hébergement, les données, la revue de sécurité, la soumission aux stores, les fonctionnalités natives, la stabilité du code et la conformité : les sept murs du vibe coding.
Qu'est-ce que la regeneration drift dans le vibe coding ?
La regeneration drift — la dérive de régénération — c'est ce qui se produit quand chaque nouveau prompt régénère le code dans un contexte légèrement différent : le correctif d'hier peut disparaître en silence dans la génération d'aujourd'hui. Addy Osmani appelle la boucle qui en résulte le schéma des « deux pas en arrière » ; l'analyse de 211 millions de lignes modifiées menée par GitClear en a mesuré l'empreinte — des blocs de code dupliqués multipliés par 8 en 2024. C'est la raison principale pour laquelle une app vibe-codée devient plus difficile à maintenir à mesure que vous continuez à prompter.
Apple a-t-il banni les apps créées en vibe coding ?
Non — et la nuance compte. En mars 2026, Apple a bloqué les mises à jour des apps des plateformes de vibe coding comme Replit et Vibecode, au titre de la règle 2.5.2, qui interdit aux apps de télécharger et d'exécuter du code. La mesure vise les outils en tant qu'apps iOS, pas les apps construites avec l'IA. Apple a indiqué à MacRumors n'avoir aucune règle visant spécifiquement les apps issues du vibe coding. Une app individuelle construite par IA affronte la barre ordinaire : fonctionnalité minimale (4.2), spam (4.3) et complétude — la même review que toutes les apps.
Quand passer d'un prototype vibe-codé à un app builder ?
Au moment où le prototype doit devenir l'outil quotidien de quelqu'un : de vrais utilisateurs, une présence sur les stores, des mises à jour, un backend qui persiste. C'est un seuil de responsabilité, pas un seuil de compétence — le jour où d'autres personnes dépendent de l'app, quelqu'un doit répondre de ses sept murs. Gardez le prototype ; il a fait son travail en validant l'idée. Puis reconstruisez l'app là où ces murs sont déjà le travail de quelqu'un d'autre — binaires natifs, soumission aux stores, hébergement et maintenance compris. Comme le disait notre CMO, le vibe coding s'adresse à un public expert ; un app builder est construit pour tous les autres.
Combien coûte réellement la publication sur les stores ?
Un compte Apple Developer coûte 99 $ par an ; un compte développeur Google Play, 25 $ une seule fois. Vient ensuite le vrai coût : préparer les builds, les captures d'écran, les déclarations de confidentialité, et survivre à la review — Apple rejette environ 42 % des premières soumissions (référence Apple, mesurée sur les apps soumises par notre équipe publication ces 12 derniers mois). Notre guide de publication pas à pas couvre le processus, et notre service de publication s'en charge pour vous.
Design