// CLUBIC — LINUX & OPEN SOURCE
Cybersécurité : la Linux Foundation va mettre l'open source en ordre de bataille face à l'IA
Trouver une faille critique dans un projet open source réclamait des semaines de travail et une expertise pointue. Un bon modèle d'IA peut faire la même chose en quelques minutes. La Linux Foundation a décidé que ça devait changer.
Le 25 juin, la fondation a lancé Akrites, une initiative de coordination regroupant AWS, Anthropic, Cisco, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Vodafone et une vingtaine d'autres organisations. La mission : créer un espace commun de détection, de correction et de divulgation responsable des vulnérabilités dans les logiciels open source les plus critiques. Le financement de démarrage est assuré par Alpha-Omega, un fonds directement rattaché à la Linux Foundation, le même fonds qui avait reçu 12,5 millions de dollars de la même coalition en mars 2026 pour renforcer la sécurité de l'écosystème open source.
Le déséquilibre entre la valeur tirée de l'open source et les ressources consacrées à sa sécurisation n'est pas nouveau. Les bases de code mondiales dépendent à 95 % de logiciels libres, dont 86 % des contributeurs ne perçoivent aucune rémunération. L'histoire récente illustre à quel point cette équation peut dégénérer. En 2014, Heartbleed révélait qu'OpenSSL, infrastructure critique de l'internet mondial, fonctionnait avec un seul mainteneur à temps plein et moins de 2 000 dollars de dons annuels. En 2024, la backdoor XZ Utils avait incarné le scénario encore plus inquiétant : un acteur malveillant infiltre un projet pendant deux ans, gagne la confiance d'un mainteneur isolé, et installe une porte dérobée classée CVSS 10/10, la note maximale, ciblant des millions de serveurs Linux.
Parallèlement, l'IA a commencé à compliquer la tâche des défenseurs avant même d'aider les attaquants. Le mainteneur du projet cURL a fermé son programme de signalement de bugs début 2026 : environ 95 % des rapports reçus en 2025 étaient des hallucinations de modèles de langage. Les coding agents inondent les mainteneurs de faux positifs, consommant le peu de bande passante humaine disponible pour trier les alertes légitimes. Le cas de sudo, l'utilitaire qui contrôle l'escalade des privilèges sur des millions de serveurs, est parlant à ce titre : Todd C. Miller maintient cet outil seul depuis 1993, et se retrouvait sans sponsor après le retrait de Quest Software début 2024.
Ce même déséquilibre de financement structurel pousse les projets à multiplier les fonds de dotation et les appels aux dons, avec des résultats très variables. Ludovic Dubost, fondateur de CryptPad, le formulait très directement : si nous voulons des logiciels libres, nous devons les payer. Les entreprises qui tirent le plus de valeur de l'écosystème sont précisément celles qui ont longtemps contribué le moins à le sécuriser.
L'initiative repose sur trois piliers. D'abord, une équipe de réponse aux incidents de sécurité (SIRT) partagée entre tous les membres, qui sert de guichet unique pour les signalements. Ce qui met fin à la situation actuelle où le même mainteneur reçoit parfois dix rapports identiques de dix organisations différentes, chacune avec sa propre recommandation de patch. Ensuite, un processus standardisé de divulgation coordonnée, construit sur un principe de confidentialité d'abord : les corrections retournent dans le projet d'origine, sur les termes du mainteneur, avant toute divulgation publique. Enfin, un mécanisme de « mainteneur de dernier recours » pour les paquets critiques qui n'ont plus de mainteneur actif, une catégorie que l'écosystème tend à considérablement sous-estimer.
Les mêmes organisations avaient déjà mis 12,5 millions de dollars en mars 2026 via Alpha-Omega pour renforcer la sécurité de l'open source. La logique commence à se refermer : un financement d'un côté, une coordination de l'autre. Akrites, en utilisant ce même fonds comme amorce, constitue la pièce opérationnelle qui manquait au dispositif.
Les organisations membres d'Akrites sont majoritairement américaines dans leur sièg