Cal, startup connue pour son offre de gestion de rendez‑vous et pour être l’un des plus grands projets Next.js open source, bascule sa branche commerciale d’une licence AGPL vers un modèle propriétaire. Motif principal : la montée d’outils d’IA capables d’analyser automatiquement du code ouvert et d’y repérer des vulnérabilités — une menace jugée trop importante pour les données sensibles des utilisateurs. Cal publie en parallèle une version communautaire (Cal.diy) pour les hobbyistes.
Contexte
À sa création en 2022, Cal s’était engagée à rester open source pour favoriser l’innovation et la collaboration. Le produit a rapidement grandi et gagné en adoption, notamment dans l’écosystème Next.js. Jusqu’ici, l’argument central en faveur de l’open source était la transparence : des milliers d’yeux peuvent trouver et corriger des failles. Mais l’arrivée d’outils d’IA change la donne.
La menace nouvelle : les IA qui « lisent » le code
- Des modèles comme Claude Opus (et plus récemment des travaux d’Anthropic / Mythos) peuvent parcourir de grandes bases de code et identifier automatiquement des vecteurs d’attaque ou des erreurs de conception.
- Selon Cal (Bailey Pumfleet, CEO) et son cofondateur Peer Richelsen, cette capacité multiplie le nombre d’attaquants potentiels : rendre public un code critique revient à « donner le plan d’un coffre‑fort », désormais exploité à grande échelle par des IA.
- Anthropic’s Mythos a par ailleurs démontré qu’il pouvait trouver des failles sérieuses dans des systèmes réputés sûrs (ex. OpenBSD), illustrant la réalité du risque.
La décision de Cal
- Cal retire sa branche commerciale de l’open source (fin de l’AGPL pour cette offre) afin de protéger les données de réservation et d’éviter de devoir jouer le rôle d’une entreprise de cybersécurité à plein temps.
- En parallèle, Cal publie Cal.diy : une version entièrement open source destinée aux expérimentations et aux hobbyistes, séparée de l’environnement commercial qui gère des données sensibles.
Réactions et implications
- Experts comme Huzaifa Ahmad (Hex Security) estiment que les applications open source sont aujourd’hui « 5–10× » plus faciles à exploiter que les fermées, ce qui pourrait entraîner un recul de l’open source pour les logiciels manipulant des données sensibles.
- Cette évolution soulève des questions sur le modèle économique et éthique de l’open source : les entreprises devront arbitrer entre transparence et protection des utilisateurs.
- Les petites sociétés qui n’ont pas les ressources pour répondre à un afflux de vulnérabilités découvertes par IA pourraient suivre Cal et restreindre l’accès au code critique.
Mesures défensives possibles (recommandations pratiques)
Sans préconiser l’obscurcissement, les entreprises peuvent combiner plusieurs approches pour limiter les risques :
- Segmentation : séparer les composants critiques (gestion de données sensibles) du code open source public.
- Audits et tests de sécurité automatisés et réguliers (fuzzing, SAST/DAST), incluant des évaluations menées par des équipes spécialisées.
- Programmes de bug bounty et divulgation responsable pour accélérer la correction des failles.
- Renforcement des contrôles d’accès, chiffrement des données au repos et en transit, et surveillance active des comportements anormaux.
- Utilisation d’outils d’IA défensifs pour détecter et prioriser les vulnérabilités potentielles avant qu’elles ne soient exploitées.
- Licences hybride / double licence : conserver une partie du projet open source (fonctionnalités non critiques) et protéger les composants stratégiques via licences propriétaires.
Conséquences pour la communauté open source
- Risque d’un reflux de l’open source dans les domaines traitant des données sensibles (santé, finance, gestion d’identités).
- Possibilité d’un modèle mixte : open source pour les éléments non critiques, code fermé pour les briques exposées aux attaques automatisées.
- Nécessité d’une réflexion collective (communautés, hébergeurs, plateformes IA) sur les meilleures pratiques et mécanismes de protection face aux capacités croissantes des modèles d’IA.
Conclusion
La décision de Cal illustre un tournant potentiellement majeur : l’émergence des IA comme force automatisée d’analyse de code pousse certaines entreprises à restreindre l’accès public à leurs projets pour protéger les utilisateurs. Ce choix met en lumière la nécessité d’adapter les modèles open source, les pratiques de sécurité et les approches réglementaires à une ère où l’IA peut accélérer la découverte de vulnérabilités à grande échelle. Cal indique toutefois que sa préférence reste l’open source — si l’on peut garantir la sécurité des utilisateurs, l’entreprise se dit prête à rouvrir son code commercial.
Ressources & suggestions pour WordPress
- Extrait/meta description (SEO) : « Cal abandonne temporairement l’open source pour sa branche commerciale, invoquant le risque que des IA parcourent et exploitent son code. Cal.diy reste open source pour les hobbyistes. »
- Slug suggéré :
cal-abandonne-open-source-ia-risques - Catégories : Innovation, Sécurité, Intelligence Artificielle, Open Source
- Tags : Cal, open source, sécurité, IA, Anthropic, Mythos, Claude Opus, AGPL, Cal.diy
- Image de une : capture d’écran de l’app Cal ou illustration sur la sécurité et l’IA (texte alternatif : « Cal abandonne l’open source pour protéger les données face aux IA »)
Source primaire : Article ZDNet — “‘Like handing out the blueprint to a bank vault’: Why AI led one company to abandon open source”
