GitHub vacille : l'open source est-il en crise ?

Stéphane Robert DevOps Engineer

Publié le 20 mai 2026

Glossaire : activé

12 min de lecture

#open-source#supply-chain#devsecops#github#souveraineté

Je tiens une veille supply chain depuis des années, et le mois de mai 2026 sort du lot. En quelques semaines, GitHub a accumulé un incident de sécurité interne, une fiabilité en berne et le départ annoncé de projets emblématiques vers d'autres forges. Sur les réseaux, le verdict tombe vite : « l'open source est en crise ».

Je ne suis pas d'accord avec ce raccourci. Je crois qu'on confond trois choses : GitHub l'entreprise, la sécurité de la chaîne logicielle, et l'open source lui-même. Ce billet remet ces trois sujets à leur place. Et comme la situation évolue chaque semaine, je l'enrichirai au fil de l'eau — considérez-le comme une chronique ouverte.

L'incident de trop

Le 20 mai 2026, le compte officiel de GitHub publie un message court : « We are investigating unauthorized access to GitHub's internal repositories. » GitHub enquête sur un accès non autorisé à ses dépôts internes, sans preuve, à ce stade, d'impact sur les données clients.

Les détails ont été rapportés ensuite par la presse spécialisée. Selon BleepingComputer, GitHub a confirmé qu'environ 3 800 dépôts internes étaient concernés. Selon GitHub, l'incident démarre par un poste d'employé compromis : une extension VS Code malveillante installée sur cette machine a servi de porte d'entrée — le nom de l'extension n'est pas public dans les sources consultées. Ce n'est donc pas une faille de l'infrastructure GitHub, mais une compromission de la chaîne d'outils d'un développeur.

L'attaque est revendiquée par un groupe nommé TeamPCP, qui propose le jeu de données volé à la vente pour un minimum de 50 000 dollars. GitHub n'a pas publié d'attribution officielle — la revendication reste, à ce stade, la parole de l'attaquant. Mais ce nom n'est pas inconnu : Microsoft et l'Unit 42 de Palo Alto Networks ont relié TeamPCP à la campagne de compromission de Trivy et de Checkmarx KICS plus tôt cette année. Si la revendication se confirme, c'est le même acteur qui passe du paquet à la forge — une campagne qui remonte la chaîne logicielle vers son sommet.

Confirmé, revendiqué, rapporté

Faisons le tri. Confirmé par GitHub : l'accès non autorisé aux dépôts internes, l'absence de preuve d'impact client à ce stade. Rapporté par la presse (BleepingComputer) : le chiffre de ~3 800 dépôts, le vecteur « extension VS Code ». Revendiqué par l'attaquant : la paternité TeamPCP et la demande de rançon. Confirmé par ailleurs : le lien de TeamPCP avec la campagne Trivy. Je mettrai ce billet à jour quand GitHub publiera son rapport d'incident complet.

Une plateforme qui fatigue

L'incident ne tombe pas dans un ciel serein. Il s'ajoute à une série de signaux qui s'accumulent depuis des mois.

La fiabilité, d'abord. Selon une analyse d'IncidentHub reprise par LeadDev, GitHub aurait connu 257 incidents entre mai 2025 et avril 2026, dont 48 pannes majeures — soit, en moyenne, une perturbation significative par semaine. GitHub publie ses propres rapports de disponibilité mensuels, sans donner ce total agrégé ; le chiffre reste donc une estimation tierce. GitHub reconnaît malgré tout la pression : la croissance des workflows agentiques depuis fin 2025 l'oblige à viser une capacité d'infrastructure très supérieure à l'actuelle. Pour une plateforme devenue l'un des centres de gravité du développement logiciel mondial, ces tensions interrogent.

La gouvernance, ensuite. Fin 2025, le PDG Thomas Dohmke a quitté GitHub. Microsoft n'a pas nommé de successeur : GitHub a été rattaché à l'organisation CoreAI de Microsoft, et ses dirigeants reportent désormais à plusieurs cadres de la maison mère. GitHub n'a plus de capitaine propre — il est devenu une brique de la stratégie IA de Microsoft.

Les décisions produit, enfin, cristallisent le mécontentement. L'intégration de plus en plus envahissante de Copilot — au point que GitHub a dû faire marche arrière sur des « tips » publicitaires injectés dans les pull requests après le tollé de la communauté — donne le sentiment d'une plateforme qui pousse son agenda IA avant les besoins de ses utilisateurs.

Les projets quittent GitHub

C'est dans ce contexte que des projets quittent GitHub. Et pas n'importe lesquels.

Le cas le plus commenté est Ghostty, l'émulateur de terminal aux plus de 50 000 étoiles. Son créateur n'est pas un inconnu : Mitchell Hashimoto, fondateur de HashiCorp, à l'origine de Vagrant, Terraform et Vault. Fin avril 2026, il annonce que Ghostty quittera GitHub, principalement pour des raisons de fiabilité. La forge de destination n'est pas encore officialisée — un miroir en lecture seule restera sur GitHub. Le signal compte ici plus que la destination : un mainteneur de ce poids qui s'en va, ce n'est pas un caprice.

Le projet Gentoo Linux, lui, a tranché sa destination : il migre ses miroirs et ses contributions vers Codeberg, en citant explicitement les sollicitations répétées autour de Copilot. Gentoo conserve toutefois son infrastructure principale en auto-hébergement — la migration est partielle, ciblée. Et ces deux noms ne sont que la partie visible : la communauté observe un filet continu de billets « pourquoi je quitte GitHub » et de dépôts qui basculent.

La destination la plus citée est Codeberg, une forge qui fait tourner le logiciel Forgejo. Le détail compte : Forgejo est un fork communautaire de Gitea, placé sous l'ombrelle de Codeberg e.V., une association allemande à but non lucratif, avec une gouvernance démocratique et un code entièrement libre. Autrement dit, les projets qui migrent ne quittent pas une plateforme commerciale pour une autre : ils basculent vers une infrastructure associative, libre et gouvernée par la communauté.

Partir n'est pas trivial

Migrer une forge, ce n'est pas qu'un git remote set-url. Il faut emporter les issues, les pull requests, les automatisations CI, les intégrations, et accepter que le réseau social du projet — la visibilité, les contributeurs de passage — reparte de plus bas. Codeberg a d'ailleurs subi des attaques DDoS qui ont dégradé son service. La migration est un choix de fond, pas un coup de tête.

Le fil rouge : l'environnement du développeur est devenu la cible

Si je relie les points de ces dernières semaines, un motif se dessine, et il n'a rien de rassurant. L'incident GitHub démarre par une extension VS Code piégée. Le ver Shai-Hulud, dont j'ai parlé dans un billet dédié, vole les fichiers de configuration de Claude Code et plante des backdoors dans VS Code. La vague d'attaques par tag poisoning — Trivy, Checkmarx KICS, xygeni — cible les GitHub Actions, c'est-à-dire les pipelines des développeurs.

Le point commun n'est plus le serveur de production. C'est le poste de travail du développeur et sa chaîne d'outils. Ce poste n'est plus un simple terminal d'accès au code : c'est une zone de concentration de privilèges. Sur une seule machine cohabitent les jetons GitHub, les clés SSH, les accès npm et PyPI, les credentials cloud, les extensions d'éditeur, les agents IA, les fichiers de configuration locaux et l'accès aux runners CI.

Pour un attaquant supply chain, compromettre cet environnement, c'est souvent obtenir un raccourci vers la publication logicielle, les secrets et parfois des organisations entières. C'est pour cette raison que le poste de développeur mérite désormais le même soin qu'un serveur exposé. Le guide Attaques via les gestionnaires de paquets en CI/CD détaille cette mécanique.

Alors, l'open source est-il en crise ?

Je reviens à la question de départ. Ma réponse tient en une distinction.

GitHub traverse, au minimum, une crise de confiance. Incident de sécurité, fiabilité dégradée, perte d'autonomie organisationnelle, décisions produit contestées autour de Copilot : l'entreprise accumule un faisceau de doutes qu'elle ne peut plus traiter comme une simple mauvaise passe.

La sécurité de la supply chain traverse une crise — c'est tout aussi vrai. Les attaques se sont industrialisées : vers auto-répliquants, groupes organisés comme TeamPCP, ciblage systématique des mainteneurs, des forges et de la chaîne d'outils.

Mais l'open source, lui, n'est pas en crise d'existence. Il continue de produire, d'attirer des contributeurs, de forker et de s'organiser. Les projets qui « partent » de GitHub ne quittent pas l'open source — ils quittent une plateforme commerciale pour une forge associative et libre. C'est l'inverse d'un effondrement : c'est le signe que l'écosystème dispose d'alternatives crédibles et que les projets peuvent réellement changer de plateforme quand celle-ci ne leur convient plus.

Ce qui est en crise, en revanche, c'est l'infrastructure dominante de l'open source. Trop de projets, de workflows, d'identités, de secrets et d'automatisations reposent sur une seule plateforme commerciale. C'est une crise de centralisation. On a confondu open source et GitHub ; on a laissé une forge unique devenir le point de centralisation de fait du développement mondial. Quand ce centre vacille — un incident, un changement de cap stratégique, une panne hebdomadaire — c'est tout l'écosystème qui tremble. La fragilité n'est pas dans le modèle open source : elle est dans la monoculture qu'on a bâtie autour de lui.

Vu sous cet angle, les départs vers Codeberg ne sont pas un symptôme de mort. Ils sont une re-décentralisation — un retour, modeste mais réel, à la pluralité qui faisait la robustesse de l'open source avant qu'une seule forge n'aspire tout.

Ce que j'en retiens, concrètement

• Ne pas confondre open source et GitHub. GitHub est un hébergeur commercial. L'open source est un modèle. L'un peut aller mal sans que l'autre soit menacé.
• Réduire la dépendance à une forge unique. Garder un miroir de ses dépôts critiques sur une seconde forge, ou en auto-hébergé, n'est plus de la paranoïa : c'est de la continuité d'activité.
• Traiter le poste de développeur comme une cible. Extensions d'éditeur, runners CI, gestionnaires de paquets, agents IA : c'est là que se concentrent les privilèges, et là que se jouent les attaques de 2026. Auditer ses extensions vaut autant qu'auditer ses dépendances.
• Soutenir les alternatives. Forgejo, Codeberg et les forges associatives ne survivront que si la communauté les utilise, les finance et y contribue. La diversité ne se décrète pas, elle s'entretient.

Ce billet sera enrichi

J'ai choisi d'en faire une chronique ouverte. La situation de GitHub bouge chaque semaine ; le rapport d'incident complet n'est pas encore publié ; d'autres projets annonceront sans doute leur départ, et leurs destinations. Je mettrai ce billet à jour — la date de modification en haut de page fera foi.

Si vous observez un signal qui mérite d'y figurer, écrivez-moi. Une chronique se nourrit aussi du terrain de ses lecteurs.

Pour aller plus loin

Sur le blog :

• Shai-Hulud revient : un ver npm pille l'écosystème AntV — l'attaque npm qui backdoore Claude Code et VS Code.
• Attaques via les gestionnaires de paquets en CI/CD — la mécanique des compromissions de la chaîne d'outils.
• La sécurité de la supply chain logicielle — le dossier complet.

Sources de ce billet :

• L'incident — le communiqué de GitHub sur X et l'analyse de BleepingComputer.
• La fiabilité et la gouvernance — l'enquête « What's gone wrong at GitHub? » de LeadDev et le billet « Goodbye, GitHub » du blog officiel.
• Les départs — « Ghostty Is Leaving GitHub » de Mitchell Hashimoto et l'annonce de migration de Gentoo vers Codeberg.
• La campagne TeamPCP — l'analyse de Microsoft Security sur la compromission de Trivy et celle de l'Unit 42 de Palo Alto Networks.

Soutenez-moi !

×

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracing. Aujourd'hui, ce site ne couvre même pas mes frais d'hébergement, d'électricité, de matériel, de logiciels, mais surtout de cafés.

Un soutien régulier, même symbolique, m'aide à garder ces ressources gratuites et à continuer de produire des guides de qualité. Merci pour votre appui.

Offrir un café

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn

×

📖 Voir la documentation →