Face à des outils d’IA capables d’analyser rapidement un code source public pour en extraire des vulnérabilités, Cal — startup connue pour son projet open source majeur — a décidé de basculer son offre commerciale vers un modèle propriétaire. Retour sur les raisons, les conséquences pour l’écosystème open source et les options que Cal propose pour les hobbyistes.
Introduction
En 2022, Cal (cal.com) annonçait son ambition d’être un projet open source pour résoudre les limites des solutions de prise de rendez‑vous existantes. Quelques années plus tard, la direction a pris la décision difficile de fermer la version commerciale au régime open source (AGPL) et d’adopter une licence propriétaire, invoquant des risques de sécurité accrus liés aux capacités d’analyse automatisée des IA modernes.
Pourquoi Cal change de modèle
- Menace d’« IA‑hackers » : Selon les fondateurs, des modèles comme Claude Opus (et plus récemment des modèles démontrés par Anthropic) peuvent parcourir rapidement un grand dépôt public et identifier des failles exploitables. La transparence inhérente à l’open source devient ainsi « le plan de la chambre forte », facilite l’identification des points critiques et multiplierait le nombre d’attaquants potentiels.
- Risque sur les données sensibles : Cal traite des données de réservation et d’utilisateurs potentiellement sensibles. Les dirigeants ont estimé qu’ils ne pouvaient pas assumer le risque d’exposer ces surfaces d’attaque via un code public, surtout sans devenir eux‑mêmes une entreprise de cybersécurité.
- Charge opérationnelle : Un afflux de vulnérabilités automatiquement découvertes augmenterait considérablement la charge de correction et de réponse pour une équipe produit, en particulier pour les startups qui n’ont pas des ressources de sécurité illimitées.
Mesures prises par Cal
- Fermeture de la version commerciale : la partie du produit destinée aux clients payants passe sous licence propriétaire pour limiter l’exposition du code qui gère les données sensibles.
- Publication d’une version hobbyiste : Cal a toutefois publié « cal.diy », une version entièrement open source destinée aux expérimentations et aux usages non critiques. L’objectif est de préserver la communauté et l’innovation hors des cas d’usage qui traitent des données sensibles.
Contexte et exemples
- Le cas Anthropic / Mythos : Des travaux récents ont montré qu’un modèle d’Anthropic nommé Mythos a pu identifier des vulnérabilités sérieuses dans des logiciels réputés sûrs (ex. OpenBSD). Ce type de démonstration illustre la vitesse et l’efficacité des IA pour trouver des failles dans des projets publics.
- Débat plus large : Certains observateurs estiment que l’open source devient plus vulnérable (5–10× plus facile à exploiter selon un expert cité), ce qui pourrait pousser d’autres entreprises à réévaluer leur stratégie d’ouverture du code, surtout quand des données utilisateurs sont en jeu.
Impacts possibles pour l’écosystème open source
- Modèles commerciaux remis en question : les entreprises qui misaient sur la visibilité et l’adoption via l’open source pourraient être contraintes d’adopter des approches hybrides (partie core propriétaire / partie libre) ou de renforcer fortement leurs capacités de sécurité.
- Risque de polarisation : si beaucoup de projets sensibles se ferment, la communauté perdra des opportunités d’audit public et d’innovation collaborative. À l’inverse, les projets non critiques pourraient rester ouverts ou se multiplier.
- Nécessité d’outils de défense : l’évolution met en lumière le besoin d’outils automatiques de hardening, d’audit de code et de politiques de sécurité adaptées aux capacités des IA, ainsi que de meilleures pratiques pour minimiser l’extraction d’informations sensibles (par ex. séparation stricte des composants sensibles, réduction de surface d’attaque).
Extraits clés
« Open‑source code is basically like handing out the blueprint to a bank vault. And now there are 100× more hackers studying the blueprint. » — Bailey Pumfleet, CEO et co‑fondateur de Cal.
« We are committed to protecting sensitive data … We want to be a scheduling company, not a cybersecurity company. » — Pumfleet.
Conclusion et perspectives
La décision de Cal illustre un tournant potentiel : l’arrivée d’IA capables d’automatiser la recherche de vulnérabilités change l’équilibre entre transparence et sécurité. Plusieurs scénarios sont possibles : renforcement d’outils d’audit et de mitigation, apparition de licences hybrides et, pour certains acteurs, retrait partiel ou total de l’open source pour les composants sensibles. Cal précise qu’elle resterait favorable à l’open source si la situation évoluait — la porte n’est pas fermée définitivement, mais la prudence prime aujourd’hui pour protéger les utilisateurs.
Source
https://www.zdnet.com/article/ai-security-worries-force-company-to-abandon-open-source/
