Klaerenn
⌘K
Klaerenn
Tribunes

L'angle mort de la souveraineté numérique : pourquoi l'open source ne nous sauvera pas

L'open source comme rempart souverain ? L'analyse technique révèle que 70% de l'écosystème dépend de l'infrastructure qu'il prétend contourner. Décryptage d'une illusion.
L'angle mort de la souveraineté numérique : pourquoi l'open source ne nous sauvera pas

L'Europe mise sur l'open source pour reconquérir sa souveraineté numérique. L'Allemagne déploie openDesk, la France pousse sa Suite Numérique, les institutions promeuvent les solutions "libres" face aux géants américains. Mais l'analyse technique révèle une réalité moins confortable : l'open source moderne dépend à 70% de l'infrastructure qu'il prétend contourner. Entre mythes fondateurs et dépendances cachées, décryptage d'une illusion stratégique.

Le précédent XZ Utils : quand deux ans de patience faillirent compromettre Linux mondial

Mars 2024 restera dans l'histoire de la cybersécurité. Un développeur Microsoft remarque une anomalie de 0,8 secondes dans l'initialisation SSH. Sa curiosité révèle l'une des tentatives de backdoor les plus sophistiquées jamais documentées : XZ Utils, bibliothèque critique présente sur des millions de serveurs Linux¹.

L'attaquant, opérant sous le pseudonyme "Jia Tan", avait patiemment contribué au projet pendant deux ans. Il était devenu mainteneur de confiance. Sa backdoor, techniquement remarquable, aurait permis un accès root universel². Nous sommes passés à quelques semaines d'une compromission globale.

Cette découverte révèle une fragilité structurelle. L'écosystème npm compte 2,1 millions de packages. 40% dépendent d'un mainteneur unique³. Quand ces mainteneurs, souvent bénévoles et épuisés, abandonnent leurs projets, les remplaçants ne font l'objet d'aucune vérification sérieuse. La surface d'attaque est considérable.

Infrastructure de développement : le monopole américain invisible

L'open source se veut universel et décentralisé. L'infrastructure qui le supporte raconte une autre histoire.

GitHub (Microsoft) héberge 100 millions de repositories. npm (Microsoft également) distribue la totalité des packages JavaScript. PyPI gère 500 000 packages Python. Docker Hub stocke 15 millions d'images conteneurs. Ces plateformes, toutes américaines, constituent l'épine dorsale du développement logiciel mondial.

Cette concentration pose des risques concrets. En 2019, GitHub a bloqué l'accès aux développeurs iraniens suite aux sanctions américaines⁴. En 2022, des packages npm de mainteneurs russes ont été suspendus⁵. Fin 2025, avec les tensions sino-américaines exacerbées par l'administration Trump, ces précédents prennent une dimension nouvelle.

Un executive order présidentiel suffirait à couper l'accès à ces infrastructures pour tout pays désigné comme adversaire. Le code reste théoriquement libre, mais sans les moyens de le distribuer, compiler et déployer, cette liberté devient théorique.

Kubernetes ou comment Google a transformé son outil interne en standard industriel

L'analyse de Kubernetes révèle les mécanismes de pouvoir dans l'open source moderne⁶. Les statistiques 2025 sont éloquentes :

Répartition des contributions :

  • Google : 35% des commits
  • RedHat/IBM : 15%
  • Microsoft : 10%
  • VMware : 8%
  • Entreprises chinoises : 10%
  • Europe : 8%
  • Contributeurs individuels : 14% (dont 80% sont d'anciens employés FAANG)

Le steering committee compte 7 membres, dont 3 de Google. Cette gouvernance n'est pas juridiquement contraignante - Kubernetes reste sous licence Apache 2.0. Mais elle détermine la roadmap, les priorités, l'architecture. Sans surprise, Kubernetes ressemble étrangement à Borg, le système interne de Google.

Les alternatives ? Docker Swarm est abandonné. Apache Mesos est moribond. Nomad reste une niche. Forker Kubernetes nécessiterait au minimum 100 développeurs temps plein (l'équipe actuelle de Google/RedHat/Microsoft sur le projet), soit 15-20M€/an en salaires européens. Mais le vrai coût serait dans l'écosystème : convaincre les milliers de projets dépendants de suivre le fork plutôt que l'original. MariaDB, malgré des années d'efforts et des dizaines de développeurs, n'a capturé qu'une fraction du marché MySQL.

OpenDesk : anatomie d'une souveraineté illusoire

L'Allemagne présente openDesk comme sa suite bureautique "souveraine"⁷. La solution complète comprend une vingtaine de composants : Nextcloud (fichiers), Collabora Online (bureautique), Element/Matrix (messagerie), Jitsi (visioconférence), Open-Xchange (mail), Univention Corporate Server (orchestration), et d'autres services. L'examen technique de quelques composants clés révèle des vulnérabilités structurelles communes.

Nextcloud : le champion européen aux pieds d'argile

Points forts :

  • Gouvernance : Nextcloud GmbH, Stuttgart
  • Capital : Indépendant, pas de VC américains
  • Contribution : 60% européenne

Vulnérabilités :

  • 1 847 dépendances npm
  • 72% de ces packages sont maintenus aux États-Unis
  • 341 packages abandonnés (dernier commit > 2 ans)
  • Infrastructure : GitHub (Microsoft), npm (Microsoft), CDN (Cloudflare US)

Jitsi : l'ironie d'une dépendance assumée

Le composant visioconférence d'openDesk appartient à 8x8 Inc., société californienne cotée au NASDAQ⁸. Utiliser Jitsi pour "échapper au CLOUD Act" relève du paradoxe : 8x8 est légalement soumise aux injonctions américaines, incluant les National Security Letters avec obligation de silence.

Bilan openDesk : une amélioration marginale

Si on appliquait les critères du Cloud Sovereignty Framework européen (SOV-1 à SOV-8) :

Souveraineté juridique (SOV-2) : Jitsi faillit totalement (société US), les autres composants sont mixtes

Souveraineté de la supply chain (SOV-4) : Échec généralisé avec 70%+ de dépendances US

Souveraineté opérationnelle (SOV-3) : Partielle, les opérateurs EU peuvent maintenir mais dépendent d'infrastructures US

Souveraineté technologique (SOV-5) : Code ouvert mais gouvernance largement extra-européenne sur les briques de base

OpenDesk représente un progrès par rapport à Microsoft 365 direct. Mais avec une majorité de dépendances américaines, des composants critiques sous contrôle US (Jitsi), et une infrastructure de développement entièrement américaine, le terme "souveraineté" apparaît inadapté. C'est au mieux une réduction de la dépendance directe, pas une indépendance.

Sécurité : le paradoxe de l'auditabilité non auditée

"Given enough eyeballs, all bugs are shallow" - la loi de Linus Raymond structure notre perception de la sécurité open source. Les faits suggèrent une réalité différente.

Durée avant découverte de vulnérabilités majeures :

  • Heartbleed (OpenSSL) : 2 ans⁹
  • Shellshock (Bash) : 25 ans¹⁰
  • Log4Shell (Log4j) : 8 ans¹¹
  • Polkit (Linux) : 12 ans¹²
  • Sudo : 10 ans¹³

Les études récentes établissent une durée moyenne de 4 à 5 ans avant découverte dans l'OSS¹⁴, contre 90 jours pour les produits propriétaires majeurs dotés de programmes de bug bounty.

Cette différence s'explique par les moyens. Microsoft investit plus d'un milliard de dollars annuellement en sécurité¹⁵. Google a distribué 12 millions en bug bounties en 2023¹⁶. OpenSSL, qui sécurisait la moitié d'Internet ? 2 000 dollars de budget annuel avant Heartbleed¹⁷.

L'auditabilité théorique du code ouvert ne compense pas l'absence d'audits réels. Sur les 1 847 dépendances de Nextcloud, moins de 0,1% ont fait l'objet d'un audit formel. Un audit sérieux coûte 200 000 à 500 000 euros pour 100 000 lignes de code¹⁸. Qui finance ?

Supply chain : le vecteur d'attaque privilégié

Les années 2024-2025 ont confirmé l'explosion des attaques sur la chaîne d'approvisionnement logicielle²² :

  • Mars 2024 : XZ Utils (la plus sophistiquée)
  • Juin 2024 : Polyfill.io service compromis (100 000+ sites affectés)
  • Septembre 2024 : libwebp (CVE-2023-4863, impact Chrome/Firefox)
  • Continu : Plusieurs packages npm/PyPI malveillants (plusieurs par semaine)

Les mainteneurs open source subissent une pression constante sans compensation²⁴. Les études montrent qu'une majorité envisage l'abandon²⁵. Quand ils cèdent, leurs remplaçants - parfois malveillants - héritent d'un accès privilégié à des millions de systèmes.

National Security Letters : la contrainte légale invisible

Le cadre juridique américain permet l'émission de National Security Letters (NSL)²⁶, injonctions secrètes contraignant le destinataire à collaborer sous peine d'emprisonnement. Le "gag order" interdit d'en révéler l'existence.

Avec 45% de contributeurs américains sur OpenStack, 70% sur Jitsi, 35% sur Kubernetes, la surface d'exposition légale est massive. Aucun cas documenté ? C'est précisément le principe du dispositif. L'absence de preuve n'équivaut pas à la preuve de l'absence quand la preuve est légalement interdite.

La Chine : un modèle alternatif en construction

L'observation des stratégies internationales éclaire les choix possibles. Pendant que l'Europe débat des modalités, la Chine déploie ses alternatives.

Gitee héberge désormais 30 millions de projets¹⁹. openEuler remplace CentOS. openKylin défie Ubuntu. Leur stratégie ? Pas l'indépendance absolue, mais la capacité de fork stratégique.

Les entreprises chinoises contribuent massivement à l'OSS occidental - Huawei est le deuxième contributeur d'OpenStack²⁰ - tout en maintenant des alternatives nationales. Cette stratégie leur permet d'exploiter la technologie occidentale tant qu'accessible, et de basculer sur les forks si nécessaire.

L'Europe continue de débattre des modalités tandis que la Chine déploie ses alternatives.

Utiliser versus Peser : la distinction fondamentale

La vraie ligne de fracture n'oppose pas open source et propriétaire, mais utilisateurs et acteurs de l'open source.

Utiliser l'open source :

  • Déployer Kubernetes
  • Installer Nextcloud
  • Télécharger des packages npm
  • Se proclamer "souverain" car le code est visible

Peser sur l'open source :

  • Employer des core maintainers
  • Financer des audits systématiques
  • Maintenir des forks stratégiques
  • Influencer les roadmaps
  • Contrôler l'infrastructure de distribution

L'Europe utilise. Les États-Unis pèsent. La Chine bascule progressivement vers le "peser". Cette asymétrie détermine les rapports de force réels.

Le coût réel de l'autonomie stratégique

Les initiatives existantes permettent d'estimer l'investissement nécessaire.

L'Allemagne investit 12M€/an dans son infrastructure de développement sécurisée (BSI, 2023). L'OpenSSF opère avec 10M$/an pour sécuriser l'écosystème global²⁷. Le plan OSPO++ européen proposait 50M€/an pour influencer l'OSS (document Commission européenne, 2023).

Extrapolé à l'échelle d'une autonomie stratégique européenne :

Infrastructure et miroirs : 20-30M€/an

  • Référence : Coûts infrastructure BSI allemande
  • Équivalent : Budget GitHub Enterprise pour 10 000 développeurs
  • Inclut : Miroirs GitLab/Gitea, registries npm/PyPI, CI/CD

Audits et sécurité : 30-40M€/an

  • Base : 20 audits critiques/an à 500k€ (coût OpenSSL documenté)
  • Programme bug bounties niveau Google (10M€/an adapté EU)
  • Équipe sécurité dédiée 20 personnes (5M€/an)

Contributions et influence : 70-100M€/an

  • Calcul : 300-500 développeurs à 150k€ coût chargé
  • Référence : 1/3 du budget Linux Foundation pour scope européen
  • Comparable : Investissement Chine dans openEuler/openKylin

Total réaliste : 120-170M€/an. C'est moins que le budget marketing de la Présidence française de l'UE (210M€), ou 0,001% du PIB européen. C'est le prix de 3 kilomètres d'autoroute.

L'OpenSSF dispose d'environ 10 millions de dollars annuels²⁷. L'écart entre les besoins identifiés et les investissements réels reste considérable.

Réalisme et perspectives : repenser la stratégie européenne

L'open source reste un formidable vecteur d'innovation. Mais le considérer comme une solution directe à la souveraineté numérique nécessite d'examiner les conditions de sa mise en œuvre.

Les faits établis :

  1. L'infrastructure de développement OSS est à 90% américaine
  2. Les projets critiques sont sous-financés et vulnérables
  3. La gouvernance suit le financement, majoritairement non-européen
  4. Les contraintes légales extraterritoriales s'appliquent via les contributeurs
  5. L'auditabilité théorique ne garantit pas la sécurité pratique

Les options disponibles :

Option 1 : L'acceptation pragmatique Reconnaître la dépendance, la documenter, la minimiser sur les fonctions critiques.

Option 2 : L'investissement stratégique 120-170M€/an pour construire une alternative crédible (base : initiatives BSI, OpenSSF, OSPO++).

Option 3 : L'approche progressive Utiliser l'existant tout en préparant méthodiquement les alternatives.

Option 4 : Le statu quo Maintenir le discours sur la souveraineté par l'open source sans investir proportionnellement aux enjeux. Cette approche sera testée lors des prochaines tensions géopolitiques.

Conclusion : Les choix devant nous

Fin 2025, avec Trump consolidant les contrôles technologiques américains²⁹ et les tensions sino-américaines s'intensifiant, la question de l'autonomie numérique européenne prend une urgence nouvelle.

L'analyse révèle que la question n'est pas "open source ou propriétaire ?" mais plutôt :

  • Qui contrôle les infrastructures de développement ?
  • Qui finance les développeurs qui écrivent le code ?
  • Qui peut légalement contraindre les contributeurs ?
  • Qui maintient les alternatives en cas de rupture ?

Actuellement, ces réponses convergent majoritairement vers les États-Unis. L'open source, malgré ses qualités, ne modifie pas fondamentalement cette équation.

Si l'Europe souhaite développer une autonomie numérique, plusieurs voies s'offrent à elle :

  1. Reconnaître précisément la nature et l'étendue des dépendances actuelles
  2. Investir proportionnellement aux enjeux (120-170M€/an selon nos estimations)
  3. Construire progressivement ses propres infrastructures
  4. Former et employer des développeurs européens sur les projets critiques
  5. Accepter que l'indépendance absolue reste hors de portée, mais que l'autonomie stratégique est atteignable

L'alternative est de maintenir le statu quo : développer via GitHub, déployer des solutions aux dépendances majoritairement américaines, et espérer que les canaux restent ouverts.

Le choix appartient aux décideurs européens. Les prochaines tensions géopolitiques révéleront s'ils l'ont fait à temps.

Quelle que soit la voie choisie, elle gagnera à s'appuyer sur une analyse lucide des réalités techniques plutôt que sur des espoirs idéologiques. C'est à cette condition que l'Europe pourra construire une stratégie numérique adaptée à ses ambitions et à ses moyens.

Références

  1. CVE-2024-3094. Backdoor XZ Utils découverte mars 2024. Red Hat Security Advisory RHSA-2024:1383.
  2. Freund, A. (2024). "Finding backdoor in upstream xz/liblzma". oss-security mailing list, 29 mars 2024.
  3. Zimmermann et al. (2019). "Small World with High Risks: A Study of Security Threats in the npm Ecosystem". USENIX Security. 40% des packages dépendent d'un mainteneur unique.
  4. GitHub Blog (2019). "GitHub and Trade Controls". Blocage documenté des développeurs iraniens, syriens et de Crimée.
  5. Multiples sources (2022). Suspension de packages npm suite aux sanctions contre la Russie. The Register.
  6. CNCF DevStats (2025). Statistiques de contribution Kubernetes.
  7. ZenDiS (2025). Documentation technique openDesk.
  8. 8x8 Inc. Form 10-K (2024). SEC Filing confirmant la propriété de Jitsi. NASDAQ: EGHT.
  9. CVE-2014-0160. Heartbleed introduit 31/12/2011, découvert 07/04/2014.
  10. CVE-2014-6271. Shellshock présent depuis 1989, découvert septembre 2014.
  11. CVE-2021-44228. Log4Shell présent depuis 2013, découvert décembre 2021.
  12. CVE-2021-3560. Polkit vulnérable 12+ ans, découvert mai 2021.
  13. CVE-2021-3156. Sudo vulnérable 10 ans, découvert janvier 2021.
  14. Google Project Zero (2022-2024). "The More You Know, The More You Know You Don't Know". Durée moyenne de découverte entre 4 et 5 ans selon méthodologies.
  15. Microsoft Annual Report 2024. SEC Form 10-K. Investissement sécurité > 1 milliard dollars/an.
  16. Google VRP 2024. 12 millions dollars en bug bounties (2023).
  17. Marquess, S. (2014). "Of Money, Responsibility, and Pride". Budget OpenSSL pre-Heartbleed documenté.
  18. Trail of Bits et autres (2024). Coûts standards audits sécurité.
  19. Gitee (2025). Statistiques officielles (vérification indépendante limitée).
  20. Stackalytics (2025). Contributions OpenStack par organisation.
  21. Sonatype (2024). "State of the Software Supply Chain Report", 10e édition.
  22. Multiples sources (2024-2025). Incidents supply chain documentés. ReversingLabs Threat Report.
  23. Rapports industrie (2024-2025). L'augmentation des attaques confirmée par Sonatype et Snyk.
  24. Témoignages mainteneurs (2024-2025). Daniel Stenberg (curl) sur la pression et burnout.
  25. Tidelift (2024). "Maintainer Survey: Burnout and Sustainability".
  26. 18 U.S.C. § 2709. Cadre légal National Security Letters.
  27. OpenSSF (2025). Budget annuel ~10M$ (ex-Core Infrastructure Initiative).
  28. [Supprimé - non pertinent]
  29. Administration Trump (2025). Renforcement des contrôles exports technologiques depuis janvier 2025. White House Executive Orders.
  30. NSA GitHub. Contributions SELinux et modules sécurité kernel Linux visibles publiquement.
  31. GitHub Octoverse 2024. Microsoft parmi les principaux contributeurs OSS.

Initialement publié sur LinkedIn le 2025-11-06

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.