Contact

Cal, la startup derrière la plateforme de planification cal.com, a décidé de retirer la version commerciale de son code de l’open source et de la passer sous licence propriétaire. Selon Bailey Pumfleet, cofondateur et CEO, la décision vise à contrer une nouvelle menace : des modèles d’intelligence artificielle capables d’analyser automatiquement des bases de code ouvertes pour repérer et exploiter des vulnérabilités.

Pourquoi ce changement ?

  • Exposition facilitant l’analyse automatisée : rendre public le code revient, d’après Cal, à « transmettre le plan d’un coffre-fort » aux attaquants qui disposent désormais d’IA très performantes.
  • Capacité accrue des modèles d’IA : des modèles récents (ex. Mythos d’Anthropic) ont démontré la capacité à découvrir des failles sérieuses dans des projets réputés sûrs.
  • Données sensibles en jeu : Cal gère des informations de réservation et autres données clients qui rendent le risque d’exploitation inacceptable pour la version commerciale.

Ce que Cal fait concrètement

  • La version commerciale de cal.com n’est plus distribuée sous licence open source : elle passe en propriétaire pour limiter l’analyse publique des composants critiques.
  • Cal publie néanmoins cal.diy, une version entièrement open source destinée aux hobbyistes et à l’expérimentation, séparant ainsi la partie publique des services critiques en production.

Réactions et analyses

  • Peer Richelsen (cofondateur) rappelle que la sécurité open source reposait historiquement sur la communauté pour détecter et corriger les failles ; les outils d’IA inversent partiellement cette dynamique en augmentant la capacité d’analyse des attaquants.
  • Huzaifa Ahmad (Hex Security) estime que les applications open source sont aujourd’hui « beaucoup plus faciles à exploiter » — un facteur 5–10× selon lui — ce qui pourrait pousser d’autres projets à revoir leur modèle.
  • Cal affirme que la décision est prise « à contrecoeur » et qu’elle reste ouverte à revenir à l’open source si la menace évolue.

Implications pour l’écosystème open source

  • Ce cas illustre un tournant potentiel : l’arrivée d’IA capables d’automatiser la découverte de vulnérabilités remet en cause certains avantages du modèle open source, surtout pour les services manipulant des données sensibles.
  • Les petites structures, sans équipes de sécurité robustes, seront probablement les plus vulnérables face à un afflux d’exploits automatisés.
  • On peut s’attendre à des approches hybrides : composants ouverts pour les parties non sensibles, composants fermés ou accès restreint pour les traitements à risque.

Recommandations pratiques pour entreprises et projets

  • Inventaire et classification : identifier clairement quels composants publics manipulent des données sensibles.
  • Isolation ciblée : rendre propriétaire seulement les éléments critiques plutôt que l’ensemble du projet, si possible.
  • Renforcer la sécurité : augmenter le scanning automatisé, les revues de sécurité et les programmes de bug bounty pour compenser l’augmentation du risque.
  • Processus de divulgation : mettre en place une stratégie de divulgation responsable et des correctifs rapides pour anticiper des attaques automatisées.
  • Modèles d’accès hybrides : explorer des licences mixtes ou des accès sur demande pour les auditeurs et partenaires qui ont besoin d’inspecter le code.

Conclusion

La décision de Cal n’est pas tant une condamnation idéologique de l’open source qu’une réponse pragmatique à un nouveau risque opérationnel : l’exploitation automatisée par IA. Ce cas ouvre un débat important sur l’avenir des modèles open source pour les services traitant des données sensibles et devrait inciter la communauté à imaginer de nouvelles stratégies (processus, outils, licences) pour concilier transparence et sécurité.

Crédits / Source

Article d’origine : Steven Vaughan-Nichols, ZDNET, 15 avril 2026 — https://www.zdnet.com/article/ai-security-worries-force-company-to-abandon-open-source/