Certains acteurs abandonnent leur licence open source parce que Claude Opus peut scanner leur code à la recherche de failles. Un tournant inédit dans l’industrie… qui fait bondir les vétérans de la cybersécurité.
L’annonce a fait l’effet d’une bombe dans la communauté open source. Mi-avril 2026, Bailey Pumfleet, CEO et co-fondateur de Cal.com, logiciel de planification de rendez-vous open source depuis sa création en 2022, a acté le basculement de son code source de la licence AGPL vers une licence propriétaire. Motif officiel, confié à ZDNet : les grands modèles d’IA comme Claude Opus peuvent désormais éplucher une base de code publique et y dénicher des vulnérabilités en quelques heures. Une décision qui pose une question inconfortable pour toute la filière logicielle : l’avènement des IA offensives est-il en train de condamner la transparence qui a fait la force de l’open source depuis trente ans ?
Un changement de doctrine motivé par la peur
Pumfleet ne mâche pas ses mots dans les colonnes de ZDNet : « Le code open source, c'est un peu comme distribuer le plan d'un coffre-fort de banque. Sauf qu'aujourd'hui, il y a cent fois plus de hackers qui étudient le plan. » Son associé Peer Richelsen enfonce le clou : la sécurité open source a toujours reposé sur la capacité humaine à trouver et corriger les bugs, mais les IA cassent cet équilibre en industrialisant la découverte de failles.
Cal.com s’appuie sur un chiffre avancé par Huzaifa Ahmad, CEO de Hex Security : les applications open source seraient 5 à 10 fois plus faciles à exploiter que leurs équivalents propriétaires. L’entreprise conserve tout de même une version communautaire baptisée Cal.diy, mais cantonnée aux hobbyistes. Le cœur commercial, lui, est cadenassé. Le contexte qui alimente cette panique a un nom : Claude Mythos Preview. Dévoilé début avril par Anthropic, ce modèle inédit a identifié des milliers de vulnérabilités inconnues, dont une faille vieille de 27 ans dans OpenBSD, système pourtant réputé pour sa sécurité, et un bug de 16 ans dans FFmpeg que les outils de test automatisés avaient raté après avoir exécuté la ligne de code concernée cinq millions de fois. Anthropic a engagé 100 millions de dollars de crédits d’usage pour Project Glasswing, un consortium qui regroupe Microsoft, Apple, Google, Amazon, Cisco, CrowdStrike, Palo Alto Networks et la Linux Foundation.
Le contre-argument des vétérans : « on trouve les failles depuis toujours »
Sauf qu’une partie de la communauté cybersécu refuse la panique ambiante. David Lindner, directeur sécurité de l’information chez Contrast Security et 25 ans de métier, a démonté l’argumentaire dans Fortune : « On n'a jamais eu de problème à trouver des vulnérabilités. On en trouve tous les jours. On a littéralement une pile de failles qu'on ne corrige même pas. » Sa démonstration pointe une statistique accablante : plus de 99 % des vulnérabilités découvertes par Mythos n’ont pas été patchées, selon le propre billet d’Anthropic. Le vrai goulot d’étranglement de la cybersécurité, ce n’est pas la détection, c’est le correctif.
Jim Zemlin, CEO de la Linux Foundation et partenaire de Project Glasswing, pousse une logique inverse à celle de Cal.com : donner aux mainteneurs open source l’accès aux mêmes IA permettrait de corriger proactivement les failles avant qu’elles ne soient exploitées. « Les logiciels open source représentent la grande majorité du code des systèmes modernes », rappelle-t-il. Les fermer, c’est priver l’écosystème de l’audit public qui l’a historiquement protégé.
Fermer le code ne fera pas disparaître les failles
C’est là que le débat se tend. L’argument de Cal.com repose sur un pari implicite : les hackers ne trouveront pas les failles s’ils ne voient pas le code. Or l’histoire de la sécurité informatique a maintes fois démontré l’inverse. Les experts parlent de « security through obscurity », une doctrine largement discréditée depuis les années 1990 : la sécurité par l’opacité ne résiste jamais longtemps au reverse engineering et aux attaques par analyse de comportement.
Fermer son code rend l’audit externe plus difficile, mais pas impossible. Et surtout, cela prive les utilisateurs de toute visibilité sur la qualité réelle de la sécurité qu’ils achètent. Les IA qui industrialisent la découverte de failles ne s’arrêteront pas aux portes d’un binaire compilé : elles apprendront à analyser le comportement réseau, les réponses d’API, les patterns d’exécution.
Cal.com ne sera probablement pas le dernier à franchir le pas. Les IA qui trouvent les failles sont les mêmes que celles qui peuvent aider à les corriger, à condition d’investir autant dans la défense que dans l’offense. Et vous, l'argument de Cal.com vous convainc-t-il ou voyez-vous aussi un retour déguisé de la sécurité par l’obscurité ?
