La Linux Foundation annonce 12,5 millions de dollars pour sécuriser l'open source. Derrière le communiqué : une crise structurelle qui précède l'IA générative, et une dette que les sept contributeurs de cette coalition peinent encore à reconnaître.
La Linux Foundation a annoncé le 17 mars un financement collectif de 12,5 millions de dollars, géré par l'OpenSSF et le projet Alpha-Omega. Sept acteurs y contribuent : Anthropic, AWS, GitHub, Google, Google DeepMind, Microsoft et OpenAI. L'OpenSSF existe depuis 2020 précisément pour répondre à l'insécurité structurelle du logiciel libre. Pour comprendre pourquoi cet investissement arrive maintenant, il faut remonter bien avant les LLMs.
Une crise que l'IA n'a pas créée, mais qu'elle décuple
Les mainteneurs open source sont, dans leur majorité, des bénévoles non rémunérés. Une enquête sectorielle menée auprès de plus de 400 d'entre eux en 2024 le confirme : 60 % ne perçoivent aucune rémunération. Environ la moitié des paquets npm les plus téléchargés au monde dépendent d'une seule personne. Cette fragilité humaine est une fragilité sécuritaire, et les attaquants l'exploitent depuis des années.
En 2018, un inconnu prend le contrôle d'un module Node.js téléchargé 8 millions de fois. Le mainteneur, épuisé, lui cède les droits de publication. Un malware ciblant des portefeuilles Bitcoin passe inaperçu pendant des semaines. En 2021, un outil de couverture de code distribue pendant deux mois un script modifié exfiltrant des clés d'accès chez des dizaines de milliers de clients. En 2024, la backdoor XZ Utils illustre l'attaque parfaite : un acteur malveillant infiltre un projet pendant plus de deux ans. Il gagne la confiance d'un mainteneur isolé, obtient les droits de commit, installe une porte dérobée classée CVSS 10/10, la note maximale. Elle cible l'exécution de code à distance via SSH sur des millions de serveurs Linux. Elle est découverte par hasard.
Ce type de pression systémique a déjà provoqué des réponses collectives similaires : en 2022, un plan à 147,9 millions de dollars réunissait les mêmes acteurs autour des mêmes objectifs. Cela n'a pas suffi. Les paquets malicieux dans les registres open source dépassaient 1,23 million fin 2025, en hausse de 75 % sur un an.
La dette que l'IA n'a pas encore remboursée
L'IA générative n'a pas créé ce problème. Elle l'a rendu ingérable. Les agents de code soumettent automatiquement des contributions sur des projets open source. Plus d'un million de pull requests ont été créées par des coding agents en quelques mois seulement sur GitHub. Le mainteneur du projet cURL a fermé son programme de signalement de bugs début 2026. La raison : environ 95 % des rapports reçus en 2025 étaient des hallucinations de LLM. Trier ce flux représente une charge à plein temps pour des bénévoles déjà à bout.
Ce qui rend la situation particulièrement inconfortable : ces mêmes modèles ont été entraînés sur ce code open source. Les datasets de référence pour les LLMs codeurs agrègent des dizaines de millions de dépôts GitHub publics. Un dataset utilisé pour entraîner plusieurs modèles pèse à lui seul 67,5 téraoctets de code issu de fichiers publics. Un recours collectif visant GitHub et deux membres de cette coalition est toujours en appel devant une cour fédérale américaine. Les plaignants réclament jusqu'à 9 milliards de dollars pour utilisation de code sous licence sans attribution.
L'Allemagne a opté pour une approche différente. Le Sovereign Tech Fund allemand est devenu une agence d'État permanente en 2024. Il a investi 24,6 millions d'euros dans plus de 60 projets critiques depuis sa création, de cURL à OpenSSH en passant par PyPI. La Document Foundation, éditrice de LibreOffice et installée à Berlin, illustre ce modèle : le Land de Schleswig-Holstein migre 30 000 postes vers LibreOffice et Linux, premier territoire européen à viser un poste de travail entièrement souverain. Un fonds public, une logique d'infrastructure numérique d'intérêt général, sans actionnaire à satisfaire.
De leur côté, certains acteurs de la coalition commencent à reconnaître explicitement la dette. Anthropic a lancé un programme dédié aux mainteneurs open source actifs : les projets dépassant 5 000 étoiles GitHub obtiennent six mois d'accès gratuit à son offre premium, pour jusqu'à 10 000 bénéficiaires. C'est un signal de réciprocité. Ce n'est pas encore une réponse à la hauteur de l'asymétrie.
