Mi-avril 2026 — Un tremblement de terre secoue le monde de l’open source. Bailey Pumfleet, CEO de Cal.com, annonce le passage de son logiciel de planification de rendez-vous d’une licence AGPL à une licence propriétaire. La raison ? Les modèles d’IA comme Claude Opus (Anthropic) peuvent désormais analyser des bases de code publiques et y détecter des vulnérabilités en quelques heures. Une décision qui relance un débat crucial : l’essor des IA offensives sonne-t-il le glas de la transparence, fondement même de l’open source ?
Un tournant historique : l’open source en danger ?
Depuis sa création en 2022, Cal.com incarnait l’idéal open source : un code accessible, améliorable par tous, et sécurisé par la communauté. Pourtant, face à la montée en puissance des IA capables de scanner, analyser et exploiter des failles à une vitesse inédite, Pumfleet a choisi de verrouiller son code. Une décision radicale, justifiée par une métaphore frappante :
« Le code open source, c’est un peu comme distribuer le plan d’un coffre-fort de banque. Sauf qu’aujourd’hui, il y a cent fois plus de hackers qui étudient le plan. »
Son associé, Peer Richelsen, va plus loin : l’équilibre historique de l’open source — basé sur la capacité humaine à détecter et corriger les bugs — est rompu. Les IA comme Claude Mythos Preview (Anthropic) ont prouvé leur efficacité en découvrant des failles vieilles de 27 ans dans OpenBSD ou de 16 ans dans FFmpeg, là où les outils traditionnels avaient échoué malgré des millions de tests.
Le paradoxe de la sécurité : transparence vs. obscurité
Cal.com n’est pas seul. D’autres acteurs pourraient suivre, poussés par la peur d’une exposition accrue aux cyberattaques. Pourtant, cette logique est contestée par des vétérans de la cybersécurité comme David Lindner (Contrast Security), qui rappelle une réalité brutale :
« On trouve des vulnérabilités depuis toujours. On en découvre tous les jours. Le vrai problème, ce n’est pas la détection, c’est le correctif. »
Un argument étayé par les chiffres : plus de 99 % des failles identifiées par Mythos n’ont pas encore été patchées, selon Anthropic. Fermer le code ne résout pas le problème — il le déplace.
Le contre-argument : l’open source, rempart ou cible ?
Pour Jim Zemlin, CEO de la Linux Foundation, la solution ne réside pas dans la fermeture, mais dans l’adaptation. Son raisonnement :
- Les logiciels open source dominent les infrastructures modernes.
- Les maintenir ouverts permet un audit public continu, historique garant de leur sécurité.
- Donner aux mainteneurs open source les mêmes outils d’IA que les attaquants permettrait de corriger les failles avant qu’elles ne soient exploitées.
Un point de vue partagé par le Project Glasswing, un consortium réunissant Microsoft, Google, Amazon, et la Linux Foundation, doté de 100 millions de dollars pour sécuriser l’open source. Leur credo : l’IA doit être un levier de défense, pas seulement d’attaque.
Security through obscurity : un leurre dangereux ?
L’argument de Cal.com repose sur une vieille croyance : « Si le code est caché, il est plus sûr. » Pourtant, l’histoire de la cybersécurité a montré que la sécurité par l’obscurité (security through obscurity) est un mirage. Les experts rappellent que :
- Les attaques par reverse engineering ou analyse comportementale contournent l’opacité.
- Un code fermé prive les utilisateurs de transparence sur sa réelle sécurité.
- Les IA modernes savent détecter des vulnérabilités même dans des binaires compilés, en analysant les comportements réseau ou les patterns d’exécution.
Fermer le code ne supprime pas les failles — il les rend simplement moins visibles.
Vers un nouvel équilibre ?
Le débat est loin d’être tranché. Deux visions s’affrontent :
- La fermeture progressive : une réaction défensive face à la menace des IA offensives.
- L’open source renforcé : une stratégie offensive, utilisant l’IA pour automatiser la détection ET la correction des failles.
Une chose est sûre : l’IA a changé la donne. Elle peut être à la fois l’arme ultime des attaquants et l’outil indispensable des défenseurs. Le choix qui s’offre à la communauté open source est clair :
- Se replier et risquer de perdre sa raison d’être.
- S’adapter et faire de l’IA un allié pour une sécurité plus robuste.
Et vous, quel camp choisissez-vous ? La discussion est ouverte.
