Cal.com passe en source fermée. Voici pourquoi.

Ce n’est pas un article facile à écrire.

Lorsque nous avons lancé Cal.com, nous croyions profondément à l’open source. C’est un principe fondamental autour duquel nous avons bâti cette entreprise, et quelque chose dont nous avons été incroyablement fiers.

Aujourd’hui, nous prenons la très difficile décision de passer au code source fermé, et il y a une raison simple : la sécurité.

L’IA change tout. Elle transforme la manière dont nous rédigeons du contenu, développons des logiciels et opérons au quotidien. Mais ce dont on parle beaucoup moins, c’est à quel point l’IA change radicalement le monde de la sécurité.

Dans le passé, exploiter une application nécessitait un pirate informatique hautement qualifié, avec des années d’expérience et un investissement de temps important pour trouver et exploiter des vulnérabilités. La réalité, c’est que les humains n’ont ni le temps, ni l’attention, ni la patience de tout trouver.

Aujourd’hui, on peut pointer une IA vers une base de code open source et la faire analyser systématiquement pour détecter des vulnérabilités.

Être open source, c’est de plus en plus comme donner aux attaquants les plans du coffre-fort. Quand la structure est entièrement visible, il devient beaucoup plus facile d’identifier les faiblesses et de les exploiter.

Au cours des derniers mois, nous avons vu une vague de start-up de sécurité IA commercialiser cette capacité. Chaque plateforme met en évidence des vulnérabilités différentes, ce qui rend difficile l’établissement d’une source unique et fiable de vérité sur ce qui est réellement sécurisé.

Cette incertitude nous a forcés à faire un choix : rester open source et accepter un risque croissant pour les données des clients, ou passer au code source fermé afin de réduire ce risque. Ce n’est pas une solution parfaite, mais nous devons faire tout ce qui est en notre pouvoir pour protéger nos utilisateurs.

Dans le même temps, nous tenons toujours profondément à l’open source. C’est pourquoi nous publions une version de notre base de code pour la communauté sous licence MIT sous le nom de Cal.diy. Bien que notre base de code de production ait considérablement divergé, y compris de réécritures majeures de systèmes centraux comme l’authentification et la gestion des données, nous voulons nous assurer qu’il existe toujours une version véritablement ouverte disponible pour les développeurs, les amateurs et toute personne qui souhaite explorer et expérimenter.

Le paysage des risques s’accélère rapidement. Les modèles avancés d’IA sont désormais capables d’identifier et d’exploiter des vulnérabilités à une vitesse sans précédent. Dans un exemple récent, l’IA a découvert une vulnérabilité vieille de 27 ans dans le noyau BSD, l’un des projets open source les plus utilisés et les plus axés sur la sécurité, et a généré des exploits fonctionnels en quelques heures.

Continuer en open source mettrait notre application, nos clients et les données sensibles que nous traitons en danger significatif. Nous prenons toutes les mesures possibles pour réduire ce risque et protéger nos utilisateurs, et pour l’instant, cela signifie passer au code source fermé malgré la difficulté de cette décision.

Nous espérons qu’un jour nous pourrons revenir à l’open source à mesure que le paysage de la sécurité évoluera. Mais pour l’instant, nous devons donner la priorité à nos clients.