Trouver une faille critique dans un projet open source réclamait des semaines de travail et une expertise pointue. Un bon modèle d'IA peut faire la même chose en quelques minutes. La Linux Foundation a décidé que ça devait changer.
Le 25 juin, la fondation a lancé Akrites, une initiative de coordination regroupant AWS, Anthropic, Cisco, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Vodafone et une vingtaine d'autres organisations. La mission : créer un espace commun de détection, de correction et de divulgation responsable des vulnérabilités dans les logiciels open source les plus critiques. Le financement de démarrage est assuré par Alpha-Omega, un fonds directement rattaché à la Linux Foundation, le même fonds qui avait reçu 12,5 millions de dollars de la même coalition en mars 2026 pour renforcer la sécurité de l'écosystème open source.
Un problème structurel que l'IA vient de rendre urgent
Le déséquilibre entre la valeur tirée de l'open source et les ressources consacrées à sa sécurisation n'est pas nouveau. Les bases de code mondiales dépendent à 95 % de logiciels libres, dont 86 % des contributeurs ne perçoivent aucune rémunération. L'histoire récente illustre à quel point cette équation peut dégénérer. En 2014, Heartbleed révélait qu'OpenSSL, infrastructure critique de l'internet mondial, fonctionnait avec un seul mainteneur à temps plein et moins de 2 000 dollars de dons annuels. En 2024, la backdoor XZ Utils avait incarné le scénario encore plus inquiétant : un acteur malveillant infiltre un projet pendant deux ans, gagne la confiance d'un mainteneur isolé, et installe une porte dérobée classée CVSS 10/10, la note maximale, ciblant des millions de serveurs Linux.
Parallèlement, l'IA a commencé à compliquer la tâche des défenseurs avant même d'aider les attaquants. Le mainteneur du projet cURL a fermé son programme de signalement de bugs début 2026 : environ 95 % des rapports reçus en 2025 étaient des hallucinations de modèles de langage. Les coding agents inondent les mainteneurs de faux positifs, consommant le peu de bande passante humaine disponible pour trier les alertes légitimes. Le cas de sudo, l'utilitaire qui contrôle l'escalade des privilèges sur des millions de serveurs, est parlant à ce titre : Todd C. Miller maintient cet outil seul depuis 1993, et se retrouvait sans sponsor après le retrait de Quest Software début 2024.
Ce même déséquilibre de financement structurel pousse les projets à multiplier les fonds de dotation et les appels aux dons, avec des résultats très variables. Ludovic Dubost, fondateur de CryptPad, le formulait très directement : si nous voulons des logiciels libres, nous devons les payer. Les entreprises qui tirent le plus de valeur de l'écosystème sont précisément celles qui ont longtemps contribué le moins à le sécuriser.
Akrites, nouvelle béquille ou vraie solution ?
L'initiative repose sur trois piliers. D'abord, une équipe de réponse aux incidents de sécurité (SIRT) partagée entre tous les membres, qui sert de guichet unique pour les signalements. Ce qui met fin à la situation actuelle où le même mainteneur reçoit parfois dix rapports identiques de dix organisations différentes, chacune avec sa propre recommandation de patch. Ensuite, un processus standardisé de divulgation coordonnée, construit sur un principe de confidentialité d'abord : les corrections retournent dans le projet d'origine, sur les termes du mainteneur, avant toute divulgation publique. Enfin, un mécanisme de « mainteneur de dernier recours » pour les paquets critiques qui n'ont plus de mainteneur actif, une catégorie que l'écosystème tend à considérablement sous-estimer.
Les mêmes organisations avaient déjà mis 12,5 millions de dollars en mars 2026 via Alpha-Omega pour renforcer la sécurité de l'open source. La logique commence à se refermer : un financement d'un côté, une coordination de l'autre. Akrites, en utilisant ce même fonds comme amorce, constitue la pièce opérationnelle qui manquait au dispositif.
La dimension européenne que personne ne mentionne
Les organisations membres d'Akrites sont majoritairement américaines dans leur siège social. Mais les logiciels qu'elles s'engagent à sécuriser font tourner les hôpitaux, les réseaux électriques, les télécoms et les administrations de toute l'Europe, y compris les systèmes d'information des services publics français, et les infrastructures couvertes par la directive NIS2. Le Cyber Resilience Act européen, en cours de déploiement, va imposer des obligations de sécurité tout au long du cycle de vie des produits numériques, y compris ceux intégrant des composants open source. Akrites est l'une des réponses industrielles concrètes à cette exigence réglementaire, même si la fondation ne le formule pas ainsi.
Reste une question que l'initiative ne résout pas encore. La vitesse de la correction ne vaut que si les utilisateurs déploient le patch. Dan Lorenc, CEO de Chainguard et membre fondateur, l'admet explicitement : le goulot d'étranglement n'est plus la découverte, c'est la correction et son déploiement effectif. Et moins de 5 % des vulnérabilités open source validées ces derniers mois ont été corrigées dans les systèmes en production. C'est cette partie-là de l'équation qu'Akrites ne règle pas encore.
