Votre SaaS peut être cloné en une semaine pour 1 100 $. Cloudflare vient de le prouver.

11 min read

Un commentaire sur un récent thread Hacker News à propos du changement de licence de chardet m'a fait fermer mon MacBook pendant deux minutes. Roritharr, consultant SaaS, racontait l'histoire d'un ingénieur client qui avait rétro-ingénieuré le backend en une semaine avec Claude Code, livrant une API fonctionnellement identique. Il terminait par une question brutale : "Comment se protéger d'un concurrent qui ferait pareil ?". La vraie question derrière : "Si votre backend est assez trivial pour être implémenté par un grand modèle de langage, quelle valeur apportez-vous ?".

Peu après, Cloudflare publiait vinext. Cinq jours, 1 100$ de tokens, un ingénieur, 94% de l'API Next.js couverte, licence MIT. La question n'est plus théorique.

TLDR : Cloudflare a reconstruit Next.js en cinq jours pour 1 100$. Mark Pilgrim a perdu chardet. Si vous vous demandez ce qui protège votre produit en 2026, la réponse n'est pas dans votre code. Elle ne l'a jamais été.

Cet article ne parlera pas de copyleft. Il parle de vous, votre SaaS, et ce qui reste quand un concurrent peut cloner votre backend pour le prix d'un MacBook d'occasion.

Deux ingénieurs logiciels à leurs bureaux réagissent à un écran de clonage terminé affichant un coût de 1 100 $ et une chronologie de 5 jours, l'un paniqué et l'autre confiant, avec un homard robotique photocopiant des documents en arrière-plan.
Votre avantage concurrentiel vient de devenir le projet de weekend de quelqu'un d'autre.

Il y a Six Semaines, un Commentaire Hacker News a Redéfini ma Vision d'un SaaS

Le commentaire de Roritharr était le premier du thread qui ne semblait pas académique. La plupart du thread chardet parlait d'avocats, de licences, et de savoir si Mark Pilgrim avait une chance. Le sien arrivait de biais : un SaaS en production, un backend qui fonctionne, un ingénieur avec Claude Code qui avait cloné le tout sur son temps libre.

Le thread à 213 points comptait 244 commentaires quand je l'ai lu entièrement. Presque tous débattaient d'avocats. Le sien était le seul à demander quoi faire lundi matin si votre concurrent fait le même coup.

La réponse qui a le plus marqué venait d'un utilisateur nommé ShowalkKama : "Si votre backend est assez trivial pour être implémenté par un grand modèle de langage, quelle valeur apportez-vous ? Je sais que c'est une question provocante mais ça répond à pourquoi un concurrent n'est pas un concurrent.". Cette phrase m'est restée. Six semaines plus tard, le vinext de Cloudflare débarquait et rendait la question rétroactivement concrète.

Je ne suis pas là pour plaider le drame chardet. Tous les articles depuis mars l'ont fait, et je n'ai rien à ajouter sur le terrain juridique. Je suis là pour dire ce que la plupart de ces articles ont évité : ce n'est pas une question d'open source. C'est de savoir si votre produit survivrait à un concurrent motivé avec 1 100$ de crédits API, et la plupart des produits ne survivraient pas.

Le Code n'a Jamais Été le Fossé. C'était la Friction.

Personne sur ce thread ne voulait le dire à voix haute. (Le dire à voix haute, c'est le genre de phrase qui ruine votre lundi si vous dirigez un SaaS en Série A.)

Ce qu'on appelle "fossé technique" depuis quinze ans était presque toujours un avatar de friction de reproduction. Le copyleft ne protégeait pas le code. Il monétisait le coût de le réécrire from scratch. La complexité technique était une rente : tant que cloner votre stack prenait six ingénieurs et un an, votre concurrent ne s'embêtait pas.

Armin Ronacher, le type qui a écrit Flask, l'a dit clairement quand The Register lui a demandé son avis sur chardet : "Le code copyleft comme la GPL dépend énormément des droits d'auteur et de la friction pour s'imposer. Mais parce que c'est fondamentalement ouvert, avec ou sans tests, vous pouvez trivialement le réécrire de nos jours.". Le gars qui a construit une des librairies Python les plus utilisées vous dit que l'échafaudage légal autour de l'open source tenait parce que réécrire était dur, pas parce que les avocats faisaient peur.

L'IA a ramené ce coût à 1 100$ et une semaine. Quand la friction disparaît, 80% de ce qui passait pour un fossé disparaît avec. Votre avantage n'a pas disparu en mars 2026. Il est juste devenu visible. Ou son absence est devenue visible, selon de quel côté du portefeuille vous êtes.

Un commentateur nommé 3rodents l'a dit plus court sur le même thread : "En tant qu'ingénieurs, on ne pense souvent qu'au code, mais le code n'a jamais été ce qui fait réussir une entreprise.".

On le savait en école de commerce. On a fait semblant du contraire en standups.

1 100$. Cinq Jours. 94% de Next.js. Le Coût Public du Clonage.

Les chiffres tranchent les débats. Voici les publics.

Steve Faulkner, un ingénieur chez Cloudflare, a utilisé Claude Opus 4.6 via OpenCode sur plus de 800 sessions pour reconstruire Next.js. La facture : 1 100$ de tokens API. Le résultat : vinext. 67 000 lignes de code contre 194 000 dans le cœur Next.js. 1 700+ tests Vitest, 380 tests Playwright, 94% de la surface API publique Next.js couverte. Les builds tournent 4,4x plus vite, les bundles livrent 57% plus légers. Licence MIT. 7 000+ étoiles GitHub en avril. Presque chaque ligne écrite par IA, de l'aveu même de Faulkner.

Cloudflare l'a présenté comme "compatibilité pragmatique, pas parité bug-pour-bug. Cible 95%+ des apps Next.js du monde réel." Traduction : si vous avez une app Next.js au boulot, vinext la fait probablement tourner.

En parallèle, Dan Blanchard a réécrit chardet, la librairie Python de détection de charset qui livre 130 millions de téléchargements par mois. Cinq jours de développement. Amélioration de performance 41x, passant de 11 fichiers par seconde à 451. 3 931 lignes total. Attribution Git blame à Mark Pilgrim, l'auteur original : 0%. Analyse de similarité JPlag : 0,04% en moyenne, 1,29% maximum. (JPlag est le détecteur de plagiat académique que les universités utilisent pour choper les étudiants. Il n'a rien trouvé.)

The Register a rapporté les chiffres. Pilgrim, qui était hors internet depuis quinze ans, est revenu se battre contre le changement de licence. Son point portait sur le copyright. Le point de cet article, non.

Maintenant la nuance, parce que quiconque essaie de vous vendre le rêve des clones en une semaine vous vend quelque chose. Hacktron, un outil de sécurité IA, a passé son scanner sur vinext et trouvé 45 vulnérabilités. 24 ont été validées manuellement. Leur rapport a une phrase à laquelle je pense depuis : "La plupart des tests qui pilotent vinext sont des exigences fonctionnelles. Les vulnérabilités ne vivent pas là. Elles vivent dans l'espace négatif, dans les interactions complexes entre couches, le truc pour lequel personne n'a écrit de test.".

Donc oui, il y a un coût caché aux réécritures IA. Le clone a des bugs que l'original n'avait pas. Le clone a des failles de sécurité que l'original a patchées il y a deux cycles CVE. Mais ce coût caché ne vous sauve pas. Il signifie juste que le clone de votre concurrent livre avec des bugs pendant qu'il vous bouffe votre déjeuner.

J'ai reconstruit ma propre stack from scratch l'été dernier quand Anthropic a fermé un workflow dont je dépendais, et la seule raison pour laquelle ça piquait était le temps, pas l'argent. J'ai fait le tout pour 15$ par mois au lieu de 200$. L'arithmétique marche dans les deux sens ; la douleur ne voyage que dans un.

Trois Fossés qui Survivent aux Réécritures IA. Et Trois qui Ne Survivent Pas.

Trois fossés qui tiennent après que l'IA soit devenue bon marché. Trois faux sur lesquels vous devriez arrêter de compter.

1. Coût de changement qui vit dans la tête de vos utilisateurs, pas dans votre code.

Pas "data" dans l'abstrait. La data qui compte, c'est la mémoire musculaire que votre utilisateur a investie dans vos raccourcis, les automatisations qu'il a configurées et devrait refaire from scratch ailleurs, la douzaine de sous-routines invisibles où votre outil s'est intégré dans son workflow quotidien. Linear versus Jira. Une équipe avec six mois de mémoire musculaire dans Linear ne migre pas pour 5% de mieux. Vous pouvez cloner Linear en trois mois avec Claude. Vous ne pouvez pas cloner les 50 000 raccourcis clavier internalisés par leurs utilisateurs.

Le clone aura l'air identique dans une démo côte à côte. Vos utilisateurs le détesteront pour des raisons qu'ils ne peuvent pas totalement articuler. Cette haine est le fossé.

2. Distribution acquise avant que votre produit existe.

Pas "audience" au sens générique. Pas "j'ai un Twitter." Le canal qui vous livre des utilisateurs qualifiés avant que vous livriez la prochaine fonctionnalité. Pieter Levels avant Nomad List. Theo Browne avant create-t3-app. Si vous avez ça, vous pouvez cloner votre propre code tous les six mois sans perdre d'utilisateurs. Si vous ne l'avez pas, votre concurrent vibe-code une copie avec une audience et vous dépasse en deux mois.

La distribution est la seule chose qui se compose dans la même direction que les clones de code. Un clone de votre produit sans clone de votre audience est une démo gratuite pour celui qui possède le canal.

3. Capital réglementaire et intégrations entreprise.

Pas "compliance" génériquement. SOC 2 Type II, HIPAA, ISO 27001, contrats entreprise négociés sur six mois, licences FINRA, intégration directe avec un système bancaire central qui demande dix-huit mois d'onboarding sur site client. Aucune réécriture IA ne vous donne ça en une semaine. C'est le seul fossé où le code ne joue littéralement aucun rôle.

L'utilisateur rwmj l'a dit sur le même thread HN, parlant de logiciel entreprise sérieux : "C'est le canal de vente, l'ingénieur humain envoyé sur site, le cadre réglementaire qui assure que le client peut opérer légalement et obtenir une assurance.". Cette phrase vaut d'être imprimée et scotchée à votre mur.

Maintenant les trois faux. Ce sont ceux que je vois les fondateurs pointer quand ils me disent qu'ils ont un fossé, et je dois garder mon visage neutre.

La marque en early stage n'est que du marketing renouvelable. Un concurrent avec 1M$ en seed peut acheter votre reconnaissance de marque en six mois. La marque est un fossé à l'échelle Coca-Cola. À l'échelle SaaS seed-stage, c'est un logo sur un site web.

Les effets de réseau data sont réels pour Google et Meta. Ils sont une illusion pour 99% des fondateurs SaaS qui les revendiquent. Votre dataset n'est pas un effet de réseau si un concurrent peut bootstrapper un équivalent en trois mois en scrapant vos outputs publics et achetant de la data complémentaire. Les effets de réseau se composent. Votre CSV, non.

Le support 24/7 peut être cloné par un concurrent qui ouvre un Discord avec trois contractors. Le support est une fonctionnalité, pas un fossé.

Si vous avez passé la liste et que votre "fossé" était du mauvais côté, la section suivante ne sera pas confortable.

Ce qui a Sauvé Vercel n'était Pas le Code. Ça ne l'a Jamais Été.

Vinext est live depuis février. Licence MIT, 7 000+ étoiles, 94% de couverture API, 4,4x plus rapide que Next.js. Si le code était le fossé de Vercel, ils étaient morts en avril. Ils ne le sont pas. La question intéressante est pourquoi.

Passez Vercel au filtre des trois fossés.

Coût de changement dans la tête des utilisateurs : énorme. Des centaines de milliers de développeurs ont des configs vercel.json, des hooks de déploiement, et des conventions CI dans leur mémoire musculaire. Migrer un projet entreprise de Vercel vers vinext + Cloudflare Workers prend des semaines de tests et un ingénieur senior qui veut vraiment le faire. La plupart des équipes ne veulent pas. La friction hate-the-clone que j'ai décrite plus haut ? Vercel en a construit dix ans.

Distribution acquise : Notion, Stripe, Hashicorp, CIO.gov comme clients vitrine. Vercel n'a pas besoin de Next.js pour distribuer leur prochaine fonctionnalité. Ils ont un pipeline de vente qui survivrait à perdre le framework entièrement. Ils pourraient open-sourcer v0, sunset Next.js, et avoir quand même une conversation de valorisation 5B$ l'année prochaine.

Intégrations entreprise et capital : Turbopack écrit en Rust, l'écosystème v0, un SDK IA propriétaire, des contrats entreprise multi-millions. Rien de ça n'est dans le repo Next.js open-source. Ça n'y a jamais été.

Donc ce qui a sauvé Vercel n'a jamais été de gagner la guerre des frameworks. Ils avaient déjà construit des fossés ailleurs.

Guillermo Rauch, le CEO, a posté sur X que "La mission de Cloudflare est de forker tout l'écosystème développeur et détruire l'open source. Vinext était une excuse pour arnaquer les développeurs vers leurs runtimes propriétaires au lieu de Nodejs.". The Pragmatic Engineer newsletter a rapporté la citation. C'est le mouvement de quelqu'un qui défend le mauvais fossé. Les vrais fossés de Vercel n'avaient rien à voir avec le framework. Tweeter ne les a pas sauvés. Les fossés qu'ils avaient construits avant le code, si.

Hong Minhee a pointé l'ironie silencieuse par écrit : "Vercel a réimplémenté GNU Bash avec l'IA et l'a publié, puis s'est visiblement énervé quand Cloudflare a réimplémenté Next.js de la même façon.". L'esprit de partage coule apparemment dans une direction. (J'ai remarqué.)

Si votre premier mouvement quand on vous clone est le contentieux, vous n'aviez pas de fossé.

Si Vous n'en Avez Aucun des Trois, Vous Avez une Démo

Si votre SaaS n'a aucun des trois d'avant, vous n'avez pas un produit. Vous avez une démo qui tient parce que personne n'a encore eu la motivation de vous cloner. Ce n'est pas pareil qu'être protégé. C'est être beneath notice. Le jour où vous grandissez au-delà de beneath-notice, votre problème à 1 100$ commence.

Investir dans du code défensif ne marche pas en 2026. Obfuscation, complexité artificielle, fermer votre source comme Cal.com l'a fait en avril : tout ça, c'est réarranger les chaises sur le pont. Le clonage se passe à la surface API, pas à la source. (Le licensing source-available a toujours été plus une question d'optique VC que de sécurité anyway.)

Le travail qui compte, c'est investir dans un des trois fossés, ou pivoter vers une niche où vous pouvez en construire un, ou accepter que vous êtes une feature company sur une horloge d'un an et pricer en conséquence. Ajoutez à ça la discipline de shipping qui transforme les démos vibe-codées en vrai logiciel, pour que vous continuiez à bouger pendant que le clone s'occupe de reproduire ce que vous avez déjà livré il y a six mois.

Vercel a passé sa matinée à tweeter sur la mort de l'open source pendant que Cloudflare pushait des commits sur vinext. Au moins Vercel a la distribution, les contrats entreprise, et v0 qui tourne pendant qu'ils débattent sur X. Vous, qui lisez ça, quel est votre avantage en dehors du repo que je pourrais cloner ce weekend pour le prix d'une pizza ?

Votre vrai produit, c'est ce qui reste après le clone. Vérifiez ce soir.

Sources