100%
GRIMOIRE
GrimoireCorpus DindonVolumes de SynthèseLe Socle du Fer
FRENAR
RATIO
ÉTUDE STRUCTURELLE · OPÉRATION DINDON · JUIN 2026
◆◆◆
LA DETTE INVISIBLE
L'open source comme infrastructure critique non compensée
◆ CONTEXTE

Le corpus Opération Dindon a documenté la dépendance aux hyperscalers et aux semi-conducteurs. Il n'avait pas traité la couche en dessous : la dépendance à l'open source non financé. Linux, OpenSSL, curl, bash — l'infrastructure mondiale repose sur des logiciels maintenus par des individus ou de petites équipes souvent bénévoles ou sous-financés. La faille Log4Shell en 2021 a révélé l'ampleur de cette fragilité. Cette étude en fait l'analyse structurelle.

◆◆◆
Amine RAITI · Architecte Infrastructure & SRE
Document public · CC BY-NC-SA 4.0 · AI Powered by Amine · Opération Dindon
RATIO
1
SECTION 1 · OPENSSL ET LES DEUX PERSONNES
L'INFRASTRUCTURE MONDIALE REPOSE SUR DES BÉNÉVOLES

En 2014, la faille Heartbleed a révélé une vulnérabilité critique dans OpenSSL — la bibliothèque cryptographique qui sécurise la grande majorité des connexions HTTPS du monde entier. Les banques, les gouvernements, les hôpitaux, les plateformes de commerce en ligne, les hyperscalers — tous dépendaient d'OpenSSL. La faille avait existé pendant deux ans dans le code, non détectée. À l'époque de la découverte, OpenSSL était maintenu par une équipe de deux personnes à temps plein, avec un budget annuel d'environ 2 000 dollars de dons.

◆ LOG4SHELL — LE CAS D'ÉCOLE DE 2021

Log4j est une bibliothèque de journalisation Java intégrée dans des millions d'applications — des serveurs d'entreprise aux systèmes industriels en passant par les consoles de jeux vidéo. La faille Log4Shell découverte en décembre 2021 était classée 10/10 sur l'échelle de criticité CVSS. Elle affectait potentiellement des centaines de millions de systèmes dans le monde. Log4j était maintenu par une poignée de bénévoles, sans financement commercial structuré. La réponse d'urgence à la faille a reposé sur ces mêmes bénévoles, contraints de travailler sans arrêt pendant plusieurs semaines sur un problème dont la résolution bénéficiait à des entreprises milliardaires qui n'avaient rien contribué à leur financement.

◆ LA STRUCTURE DE LA DÉPENDANCE

L'industrie logicielle mondiale est construite sur une pyramide inversée : des milliards de dollars de capitalisation boursière reposent, à leur base, sur des bibliothèques open source maintenues par des dizaines ou centaines de personnes sans financement proportionnel. Cette pyramide est stable tant qu'aucune faille critique n'apparaît dans les couches basses. Quand une faille apparaît, elle révèle que la base de la pyramide était en carton.

◆ NASSIHA — L'OPEN SOURCE N'EST PAS GRATUIT

L'open source n'est pas gratuit. Il est financé par le temps non rémunéré ou sous-rémunéré de ses contributeurs. Le modèle "gratuit à l'usage" reporte le coût du développement et de la maintenance sur des individus qui assument ce coût par passion, par réputation, ou par idéalisme — pas par un modèle économique viable. Cette invisibilité du coût est la source de la vulnérabilité.

RATIO
2
SECTION 2 · LA CHAÎNE DE DÉPENDANCE INVISIBLE
CE QU'IL Y A SOUS LE CODE QU'ON ÉCRIT

Tout développeur ou ingénieur infrastructure utilise des dépendances open source dans son travail quotidien — souvent sans en avoir conscience. Une application web moderne peut dépendre de 500 à 1 000 bibliothèques open source, chacune ayant ses propres dépendances, ses propres mainteneurs, son propre niveau de financement et de maintenance. Cette chaîne de dépendance est largement invisible à l'utilisateur final — et souvent au développeur lui-même.

◆ LE PROJET XKCD 2347 — "DEPENDENCY"

Une planche de bande dessinée publiée par le webcomic XKCD représente toute l'infrastructure numérique mondiale comme une pile de blocs de construction, dont l'un — minuscule, à la base — est labellisé "un projet maintenu depuis 2003 par une personne à Nebraska". Cette image est devenue virale en 2021 lors de Log4Shell parce qu'elle décrit avec précision la réalité : quelque part dans la chaîne de dépendance de chaque système critique, il y a une bibliothèque maintenue par une personne dont personne ne connaît le nom.

◆ LE RISQUE HUMAIN DE LA DÉPENDANCE OPEN SOURCE

La vulnérabilité de l'open source non financé n'est pas seulement technique — elle est humaine. Un mainteneur qui s'épuise, qui change d'emploi, qui tombe malade, qui décide d'arrêter, abandonne une bibliothèque dont des milliers de projets dépendent. Cette bibliothèque ne sera plus maintenue, les nouvelles failles ne seront plus corrigées, les nouvelles versions de langage ne seront plus supportées. Le risque de "abandon de mainteneur" est documenté mais rarement intégré dans les analyses de risque d'infrastructure.

◆ NASSIHA — LE PROBLÈME N'EST PAS L'OPEN SOURCE

L'open source est une des plus grandes créations collectives de l'humanité. Cette étude ne critique pas le modèle — elle critique le financement. Un monde où les entreprises utilisent massivement l'open source sans contribuer à son financement est un monde qui externalise son infrastructure critique sur la bonne volonté individuelle de mainteneurs non compensés. Ce n'est pas durable.

RATIO
3
SECTION 3 · QUI FINANCE QUOI
L'ASYMÉTRIE DE VALEUR ET DE CONTRIBUTION

Les hyperscalers ont construit des entreprises de plusieurs milliers de milliards de dollars de capitalisation sur des fondations open source. AWS repose sur Linux. GCP repose sur des dizaines de bibliothèques open source. L'IA de Microsoft repose sur Python et ses écosystèmes. Ces entreprises ont aussi, pour la plupart, créé des programmes de contribution à l'open source — Google Summer of Code, les fondations Linux et Apache, les programmes de maintenance de Microsoft. Mais la disproportion entre la valeur extraite et la contribution fournie reste considérable.

◆ CE QUE LES HYPERSCALERS CONTRIBUENT

Google maintient Kubernetes, Angular, TensorFlow. Microsoft a acquis GitHub et contribue massivement à VSCode, TypeScript, .NET open source. Meta maintient React et PyTorch. Amazon contribue à OpenSearch. Ces contributions sont réelles et significatives — elles ne couvrent pas l'ensemble de la dette de financement de l'écosystème open source dont ces entreprises dépendent.

◆ LES PROJETS CRITIQUES QUI NE REÇOIVENT RIEN

La contribution des hyperscalers se concentre sur les projets qu'ils contrôlent ou dont la visibilité sert leur image. Les projets critiques mais peu visibles — bibliothèques de compression, parseurs de formats de fichiers, implémentations de protocoles réseau — restent maintenus par des individus sans financement structuré. Ces bibliothèques sont utilisées par des millions de projets, dont ceux des hyperscalers eux-mêmes. La sélection de ce qui est financé est stratégique, pas altruiste.

◆ LE "SILENCE DES SALLES" APPLIQUÉ AU LOGICIEL

"Le Silence des Salles" a documenté que les femmes sont absentes de l'infrastructure parce qu'elles n'y sont pas représentées et que personne n'a décidé de changer ça. La même logique s'applique au financement de l'open source critique : les bibliothèques invisibles ne sont pas financées parce qu'elles sont invisibles, et elles restent invisibles parce que personne ne décide de les rendre visibles. L'invisibilité perpétue le sous-financement qui perpétue l'invisibilité.

RATIO
4
SECTION 4 · LES MODÈLES QUI FONCTIONNENT
CE QUI EXISTE ET CE QUI MANQUE

Des modèles de financement de l'open source existent. Aucun n'a résolu le problème à l'échelle nécessaire. Leur analyse permet d'identifier ce qui fonctionne, ce qui échoue, et ce qui manque pour construire un financement structurel de l'open source critique.

◆ MODÈLE 1 — LES FONDATIONS (LINUX, APACHE, PYTHON SOFTWARE FOUNDATION)

Les fondations open source collectent des cotisations auprès des entreprises membres, emploient des développeurs à temps plein sur les projets critiques, et organisent la gouvernance. Ce modèle fonctionne pour les projets suffisamment visibles et utilisés pour attirer des membres payants. Il échoue pour les projets critiques mais peu visibles qui ne peuvent pas construire une masse critique de membres suffisante pour se financer.

◆ MODÈLE 2 — LE DUAL LICENSING ET L'OPEN CORE

Des entreprises comme HashiCorp, Elastic ou Redis Labs ont adopté des modèles où le code de base est open source et les fonctionnalités avancées sont propriétaires (open core) ou le code est disponible sous licence restrictive pour les usages commerciaux (dual licensing). Ces modèles financent le développement mais créent des tensions avec la communauté open source et des ruptures de compatibilité entre versions.

◆ MODÈLE 3 — SOVEREIGN TECH FUND (ALLEMAGNE)

L'Allemagne a créé en 2022 le Sovereign Tech Fund — un fonds public qui finance directement la maintenance de bibliothèques open source critiques identifiées comme infrastructure numérique nationale. Ce modèle traite l'open source comme une infrastructure publique — au même titre que les routes ou les réseaux électriques — et le finance comme tel. C'est le modèle le plus cohérent avec la thèse de cette étude. Il reste marginal à l'échelle européenne.

◆ NASSIHA — PAS DE SOLUTION UNIQUE

Aucun de ces modèles ne suffit seul. La solution structurelle est probablement une combinaison : financement public pour les bibliothèques d'infrastructure critique, contributions obligatoires des grandes entreprises utilisatrices proportionnelles à leur usage, et fondations renforcées pour la gouvernance. Ce n'est pas compliqué à concevoir. C'est difficile à coordonner.

RATIO
5
SECTION 5 · CE QUE LE SRE PEUT FAIRE
CONNAÎTRE SA CHAÎNE DE DÉPENDANCE

Le SRE ne peut pas résoudre seul le problème du financement de l'open source. Mais il peut réduire son exposition au risque de dépendance non financée — et contribuer, à son niveau, à la viabilité de l'écosystème dont il dépend.

◆ LEVIER 1 — AUDITER SES DÉPENDANCES OPEN SOURCE

Connaître les bibliothèques critiques dont son infrastructure dépend, leur niveau de maintenance (date du dernier commit, nombre de mainteneurs actifs, présence d'une fondation ou d'un sponsor), et leur historique de vulnérabilités. Cet audit devrait être aussi standard que l'audit de sécurité — parce que c'est de la sécurité. Un outil comme Dependabot ou Renovate automatise une partie de ce suivi.

◆ LEVIER 2 — INTÉGRER LE RISQUE "ABANDON DE MAINTENEUR" DANS LES ANALYSES DE RISQUE

Le risque qu'un mainteneur critique abandonne sa bibliothèque devrait figurer dans les analyses de risque d'infrastructure, au même titre que le risque de faillite d'un fournisseur ou de fin de support d'un OS. Ce risque a une réponse : fork interne de la bibliothèque, migration vers une alternative mieux maintenue, ou contribution au financement du mainteneur.

◆ LEVIER 3 — CONTRIBUER ET FAIRE CONTRIBUER

Les entreprises qui utilisent de l'open source peuvent contribuer par le code (correctifs de bugs, nouvelles fonctionnalités), par le financement (dons aux mainteneurs, adhésion aux fondations), ou par le temps (ingénieurs dédiés à la maintenance de bibliothèques critiques). Ces contributions ne sont pas du mécénat — elles sont de la gestion de risque. Une bibliothèque mieux financée est une dépendance moins risquée.

◆ NASSIHA — LA CONTRIBUTION N'EST PAS ACCESSIBLE À TOUS

Contribuer à l'open source demande du temps et des compétences que tous les SRE et toutes les entreprises n'ont pas. La réponse systémique — financement public, obligations légales de contribution proportionnelle à l'usage — est irremplaçable. Les leviers individuels sont des compléments, pas des substituts.

RATIO
6
SECTION 6 · LA PROPOSITION
TRAITER L'OPEN SOURCE COMME UNE INFRASTRUCTURE PUBLIQUE

La proposition de cette étude est de traiter l'open source critique — les bibliothèques dont dépend l'infrastructure numérique mondiale — comme une infrastructure publique au même titre que les routes, les réseaux électriques ou les systèmes d'eau potable. Ce cadrage n'est pas une métaphore. C'est une réalité opérationnelle : si curl cesse d'être maintenu, des pans entiers de l'infrastructure numérique mondiale s'arrêtent de fonctionner progressivement. Si OpenSSL n'est pas patché, des milliards de connexions sécurisées deviennent vulnérables.

◆ MESURE 1 — CRÉER UN FONDS EUROPÉEN DE L'OPEN SOURCE CRITIQUE

Sur le modèle du Sovereign Tech Fund allemand, un fonds européen de financement de l'open source critique — doté d'un budget proportionnel à la taille de l'économie numérique européenne — finance la maintenance des bibliothèques identifiées comme infrastructure critique. Ce fonds est alimenté par des contributions publiques et par des contributions obligatoires des entreprises dont le chiffre d'affaires dépasse un seuil défini et qui utilisent ces bibliothèques en production.

◆ MESURE 2 — OBLIGATION DE DÉCLARATION DES DÉPENDANCES CRITIQUES

Les entreprises au-delà d'une certaine taille devraient déclarer annuellement leurs dépendances open source critiques — à l'image de la déclaration des fournisseurs critiques dans les plans de continuité d'activité. Cette transparence permettrait d'identifier les bibliothèques à risque (peu de mainteneurs, peu de financement, beaucoup d'utilisateurs) et de prioriser les efforts de financement collectif.

◆ MESURE 3 — INTÉGRER L'OPEN SOURCE DANS LES CRITÈRES DE PASSATION DE MARCHÉS PUBLICS

Tout marché public de services numériques devrait intégrer un critère de contribution à l'open source critique dans ses conditions d'attribution. Un prestataire qui contribue au financement des bibliothèques open source qu'il utilise dans sa prestation est un prestataire plus fiable — et son contrat devrait le refléter.

◆◆◆

La dette invisible se rembourse toujours. Parfois en argent. Parfois en Heartbleed. Parfois en Log4Shell. Mieux vaut choisir le moment et la forme du remboursement plutôt que de le subir.

◆◆◆
NEMO SUPRA LEGEM EST