Open Source vs Menaces IA : Pourquoi fermer le code ne fonctionne pas

Hier, Cal.com a fermé son code source. L'un des plus gros projets Next.js open source au monde. Terminé. Le co-fondateur Bailey Pumfleet estime que partager son code à l'ère de l'IA, c'est distribuer le plan d'un coffre-fort à 100 fois plus de hackers qu'avant. Son associé Peer Richelsen a enchaîné : toute application open source est en danger et devrait passer en privé, entièrement ou au moins les parties sensibles. Pendant ce temps, Peter steipete (OpenClaw/OpenAI) a répondu "mauvaise nouvelle" avec une capture d'écran de GPT 5.4-Cyber qui reverse-engineer du code fermé sans transpirer.

L'open source est-il mort ?

TLDR : Cal.com a raison d'avoir peur. Mythos (l'IA cyber d'Anthropic) a cracké un bug OpenBSD vieux de 27 ans la semaine dernière. Mais leur remède entre en collision avec un principe qui a 143 ans et que personne dans ce débat n'a mentionné une seule fois. Quand vous appliquez ce principe à leur décision, vous réalisez qu'ils n'ont pas résolu le problème qu'ils croient avoir résolu.

Ils ne sont pas seuls. Tailwind, cURL, Ghostty, tldraw, GitHub. Projets différents, même réflexe, même raison : l'IA. L'écosystème open source bat en retraite et personne ne s'arrête pour demander si cette retraite mène quelque part de plus sûr.

Je développe avec de l'OSS tous les jours. Hetzner, Postgres, Redis, Next.js, n'importe quel package npm que j'installe sans réfléchir. Et maintenant l'un des porte-étendards de l'open source vient de lever les deux mains. Tout le monde réagit. Personne ne pose la vraie question.

Fermer le code est-il la bonne réponse à un problème qui est, lui, bien réel ?

Développeur avec bannière closed-source regarde un autre développeur utiliser l'IA pour rétro-ingénierie du code caché en temps réel — Votre théâtre de sécurité vient de devenir le spectacle de comédie préféré de l'IA.

Mythos a Cracké un OS Vieux de 27 Ans

Le 7 avril, Anthropic a publié le rapport technique sur Mythos Preview. Les chiffres ne sont pas ce qu'on appelle subtils.

Un overflow d'entier TCP SACK vieux de 27 ans dans OpenBSD, un système d'exploitation réputé pour sa posture sécuritaire obsessionnelle. Un heap buffer overflow de 16 ans dans le décodeur H.264 de FFmpeg, présent dans pratiquement tous les téléphones, navigateurs et ordinateurs de la planète. Cinq millions de runs de fuzzer automatisés ne l'ont jamais attrapé. Mythos l'a identifié par raisonnement sémantique sur la logique du code, pas par force brute. Une vulnérabilité d'exécution de code à distance de 17 ans dans le serveur NFS de FreeBSD (CVE-2026-4747). Accès root non authentifié. Chaîne ROP de vingt gadgets répartie sur plusieurs paquets. Entièrement autonome.

Sur Firefox 147, Opus 4.6 a transformé des vulnérabilités connues en exploits fonctionnels deux fois. Mythos l'a fait 181 fois.

Plus de 99% des vulnérabilités restent non patchées. Le modèle n'est pas disponible publiquement. Le Project Glasswing a donné accès à Amazon, Apple, Microsoft et quelques autres. Anthropic s'est engagé sur 100M$ de crédits d'usage. La même semaine, l'annonce a effacé 15 milliards de dollars des actions cybersécurité.

Maintenant, la partie que Cal.com n'a pas mentionnée. Mythos a trouvé ces bugs dans du code open source, oui. Mais le rapport d'Anthropic stipule explicitement que Mythos trouve et exploite des zero-days dans "tous les systèmes d'exploitation majeurs et tous les navigateurs majeurs". Y compris closed-source. Deux jours après l'annonce, AISLE (une startup cybersécurité) a testé les vulnérabilités exactes de la démo contre des modèles petits, bon marché, open-weights. Huit sur huit ont détecté la vulnérabilité NFS de FreeBSD. Le plus petit modèle avait 3,6 milliards de paramètres et coûtait 0,11$ par million de tokens.

Conclusion d'AISLE : le fossé en cybersécurité IA, c'est le système, pas le modèle.

Cal.com a raison de paniquer. Tort sur le remède.

Kerckhoffs Nous Avait Prévenus. En 1883.

Tout le camp "fermons tout" construit sur des fondations qui ont été débunkées avant que l'électricité soit courante dans les foyers.

Auguste Kerckhoffs, 1883, La Cryptographie Militaire. Une phrase qui a bâti la cryptographie moderne : un système ne doit pas exiger le secret, et il doit pouvoir tomber aux mains de l'ennemi sans inconvénient. 143 ans. Jamais invalidé. Claude Shannon l'a reformulé en 1949 : l'ennemi connaît le système utilisé. Tous les frameworks sécuritaires sérieux depuis partent du principe que l'attaquant a le code source. Ce n'est pas une position idéologique. C'est comme ça qu'on construit des systèmes qui résistent vraiment aux attaques.

Cal.com vient de baser toute leur stratégie sécuritaire 2026 sur un principe que l'industrie a abandonné avant l'ampoule électrique. Ils ont verrouillé le coffre en supposant que personne ne peut voir à travers les murs. Mythos voit à travers les murs. GPT 5.4-Cyber voit à travers les murs. Le prochain modèle, dans six mois, verra à travers des murs plus épais.

La sécurité par l'obscurité a un bilan de défaites de 143 ans.

On a Déjà Vu Cette Panique. Ça S'est Bien Fini.

Fin 90s, début 2000s. Les outils de fuzzing automatisés arrivent. Même panique, mêmes articles. Certains sur Slashdot, ce qui vous donne une idée de l'époque.

Les mainteneurs se plaignaient de l'explosion de la charge de travail. Les bad actors utilisaient les outils de fuzzing avant que les patchs sortent. Le ciel nous tombait sur la tête. Un commentateur nommé williamyf l'a résumé dans le thread Slashdot de Cal.com la semaine dernière : même ton d'articles à l'époque, mêmes prédictions, même issue. Les grosses boîtes ont fini par intervenir avec des outils gratuits et du compute pour les projets OSS. Les mainteneurs ont adapté leurs procédures. Le monde du logiciel a continué de tourner.

La réponse n'était pas de fermer le code. C'était de s'adapter.

Cal.com rejoue une erreur que l'industrie a déjà corrigée il y a 25 ans. L'outil a changé. Fuzzers alors, LLMs maintenant. La panique est identique. La bonne réponse n'a pas changé non plus.

(Franchement, si vous aviez dit à un commentateur Slashdot en 2001 qu'une startup de planning fermerait son source en 2026 à cause de l'IA en appelant ça une stratégie sécuritaire, il vous aurait ri au nez.)

Fermer le Code, C'est Juste un Puzzle avec Plus d'Étapes

Quand un dev voit du closed source, il ne voit pas un mur. Il voit un puzzle. Je le sais parce que je suis ce dev.

J'ai mappé 27 endpoints Ghost non documentés en 17 minutes avec Chrome DevTools Protocol. Log d'audit complet. Export de base de données en un seul appel API. Wrapper TypeScript, 830 lignes, 40/40 tests. Ghost est open source et j'ai fait toute l'expérience en local, publiquement.

C'était la démo publiable. J'ai depuis appliqué la même méthode exacte sur trois applications commerciales. Des produits que vous utilisez probablement. Résultats identiques. Deux de ces writeups ne sortiront jamais.

La méthode se fiche de votre code source. Elle a besoin d'un navigateur. Chrome DevTools Protocol expose tous les appels API que fait votre application. Un agent lit le trafic nativement, itérativement, construit une carte complète de vos endpoints et flux de données. Pas d'accès repo. Pour Cal.com spécifiquement, sans toucher à leur GitHub : le bundle TypeScript est minifié mais pas chiffré, le trafic mobile est observable, chaque appel API s'affiche dans DevTools dès que vous chargez le scheduler.

Fermer le code cache le plan. Pas le bâtiment.

Et le truc, c'est que les devs qui auraient ouvert une GitHub issue pour un check de permission qui fuit ? Ces devs maintenant ne diront rien. Vous avez transformé vos utilisateurs les plus utiles en spectateurs silencieux.

Fermer le code, c'est un puzzle, pas un mur.

Vous Venez de Verrouiller le Coffre Vide

Iceberg diagram. Small visible tip above waterline labeled "SOURCE CODE" (what Cal.com just locked). Massive submerged base with three zones: VELOCITY, TRUST and INSTALLED BASE, INTEGRATIONS and NETWORK — La Valeur Cachée Sous le Code Open Source

Cal.com était, selon leur propre description, le plus gros projet Next.js open source au monde. La communauté qui trouvait leurs bugs gratuitement vient de disparaître. Cette communauté ne leur devait rien. Elle était là parce que le code était ouvert.

Daniel Stenberg de cURL a fait tourner son bug bounty pendant 7 ans. Le taux de vulnérabilités confirmées a commencé au-dessus de 15%. En 2025, il s'est effondré sous les 5% parce que le slop IA a inondé le processus jusqu'à noyer les vrais rapports. Il l'a fermé. Mitchell Hashimoto chez Ghostty a été plus direct : "Ce n'est pas anti-IA, c'est anti-idiot." tldraw a fermé toutes les pull requests externes. Même problème, même épuisement.

Donc la communauté est sous stress partout. D'accord. La question est de savoir si fermer aide ou empire les choses.

Considérez ce que Cal.com a vraiment verrouillé. Leur code Next.js. Et considérez ce qu'ils ne peuvent pas verrouiller, parce que ça n'a jamais été dans le repo : leur vélocité de livraison, leurs intégrations Google et Outlook, leur base entreprise, leurs cinq ans d'expérience produit. Le Linux de Red Hat est 100% ouvert et IBM a payé 34 milliards pour ça. IBM n'a pas acheté le code. Ils ont acheté le support, la certification, la confiance.

Votre code est la partie la moins défendable de votre business.

Karen de la compta aurait pu leur dire ça. L'actif au bilan, c'est la liste clients et le taux de renouvellement, pas le repository GitHub. Mais personne n'invite Karen à la réunion sécurité.

Et maintenant la partie qui devrait vraiment inquiéter les clients de Cal.com. Fermez le code, et vous ne perdez pas que les gens qui ouvraient des issues gratuitement. Vous commencez à dériver vers le monde d'avant l'open source. Broadcom a acheté VMware fin 2023, les factures clients ont été multipliées par 10 en six mois. Oracle Database trône toujours à 47 500$ par CPU. Votre side project tourne à 15€/mois sur un VPS Hetzner parce que Linux, Postgres, Redis, Nginx sont tous open source. Si toutes les boîtes OSS commerciales ferment leur code par panique Mythos, vous ne perdez pas la couche infrastructure. Vous perdez les couches du dessus : schedulers, billing, analytics, auth. Vous dérivez vers un monde où chaque composant est une facture entreprise.

C'est ça qui remplace l'open source. Pas quelque chose de mieux. Quelque chose de plus cher. 🤷

La Vraie Réponse, C'est la Vitesse, Pas le Secret

Peter steipete a choisi la direction opposée. Sa stratégie pour OpenClaw : itération rapide et durcissement du code, même si ça introduit des régressions occasionnelles et que les gens lui gueulent dessus. Il voit ça comme la seule voie possible. Je pense qu'il a raison.

Dans un monde Mythos, la défense n'est pas de cacher votre code. La défense, c'est patcher plus vite que les attaquants exploitent. Le rapport d'Anthropic le dit : l'avantage va au camp qui tire le plus de ces outils. À court terme, ça pourrait être les attaquants. À long terme, ça devrait être les défenseurs, parce que les défenseurs ont quelque chose que les attaquants n'ont pas : l'accès commit pour corriger le code.

Mais "devrait" demande du travail. Publiez un vrai SECURITY.md avec un SLA de réponse réel, pas un template copié d'un starter repo GitHub. Automatisez vos scans CVE et traitez les dépendances flaggées comme des incidents prod, pas comme des items backlog qui traînent trois sprints. Raccourcissez votre cycle de patch. L'écart entre "vulnérabilité découverte" et "patch déployé" est la seule fenêtre qui compte maintenant, et chaque jour où vous la laissez ouverte est un jour où Mythos (ou le truc suivant après Mythos) peut passer.

J'ai fait mon propre audit de dépendances la semaine où le rapport Mythos est sorti. Trouvé deux packages obsolètes avec des CVE connues qui traînaient depuis la dernière fois que j'avais touché au projet. Pas parce que je m'en fichais. Parce que le processus n'était pas automatisé. C'est cet écart qui vous tue. Pas si votre code est sur GitHub.

Open source plus durcissement rapide, ce n'est pas open source plus croisons les doigts. C'est du travail discipliné. Mais c'est la seule approche qui survit dans un monde où la boîte à outils de l'attaquant s'améliore tous les six mois et fermer la porte ne ferme pas vraiment la porte.

Vive l'Open Source

Alors oui. L'open source est mort hier. Celui qui comptait sur "many eyes" pour compenser l'absence de vraie discipline sécuritaire. Celui qui publiait du code en espérant que la communauté trouverait les bugs. Celui-là, Mythos l'a enterré le 7 avril quand il a trouvé 27 ans de bugs dans OpenBSD.

Pumfleet a raison sur ce point précis. Ce modèle est fini.

Ce qui survit, c'est l'OSS qui prend la sécurité aussi au sérieux qu'un projet propriétaire. Qui publie son SECURITY.md avec un vrai SLA. Qui paie ses mainteneurs (Tailwind n'arrivait pas à payer 8 personnes malgré 75 millions de téléchargements mensuels : c'est un problème de business model, pas d'open source). Qui itère vite. Qui a un threat model explicite, pas un souhait de ne jamais croiser un attaquant motivé.

J'ai lu le papier Mythos, j'ai vu Cal.com fermer leur code, et j'ai choisi l'opposé. Je ne ferme rien. J'accélère mes cycles de patch. Je publie mes advisories. Je reste ouvert, parce que la valeur de mon travail n'a jamais été dans mon code. Rester ouvert est la meilleure protection que j'aie contre ce qui arrive.

Le roi est mort. Vive le roi.

Sources

Anthropic, "Assessing Claude Mythos Preview's cybersecurity capabilities," red.anthropic.com, 7 avril 2026.

AISLE, "AI Cybersecurity After Mythos: The Jagged Frontier," aisle.com, avril 2026.

Cal.com, "Cal.com Goes Closed Source," cal.com/blog, 14 avril 2026.

(*) La couverture est générée par IA. Deux personnages de BD français qui se disputent sur la sécurité d'un coffre-fort pendant qu'un homard regarde, amusé. Mardi standard.