Cal.com, plateforme de planification de rendez-vous en ligne utilisée par des entreprises, vient de fermer le code source de sa plateforme de planification, invoquant les risques de sécurité induits par l’intelligence artificielle. Un tournant symbolique qui pourrait faire école.
Quand la transparence devient vulnérabilité
Bailey Pumfleet, cofondateur de cal.com, n’a pas mâché ses mots sur X : « L’open source est mort. » La phrase fait l’effet d’une bombe, d’autant qu’elle émane d’une entreprise dont l’identité s’est entièrement construite sur ce modèle. Cal.com, outil de prise de rendez-vous en ligne massivement adopté, avait fait de l’ouverture de son code un pilier de sa croissance, de sa communauté et de sa crédibilité.
Mais l’IA a changé la donne. Ce qui nécessitait autrefois du temps, de l’expertise et une intention délibérée pour exploiter une faille peut désormais être automatisé à grande échelle, à coût quasi nul, d’après le cofondateur. Le code ouvert n’est plus seulement lu par des contributeurs bienveillants : il est scanné, cartographié et exploité de façon systématique. La transparence du code, pilier de l’open source, est aujourd’hui réévaluée à l’aune des nouveaux risques de sécurité.
Open source is dead.
That’s not a statement we ever thought we’d make.@calcom was built on open source. It shaped our product, our community, and our growth. But the world has changed faster than our principles could keep up.
AI has fundamentally altered the security… pic.twitter.com/JHZINKvJ2x
— Bailey Pumfleet (@pumfleet) April 15, 2026
Une décision radicale, assumée
La réponse de cal.com est sans équivoque : fermeture du dépôt principal. Bailey Pumfleet le formule sans ambiguïté dans ses commentaires : « Fermer la source est la méthode la plus importante de réduction des risques que nous puissions adopter dès maintenant pour sécuriser nos clients. » Ce n’est pas un reniement idéologique, précise-t-il, mais une adaptation pragmatique à un environnement de menaces profondément reconfiguré.
L’entreprise ne coupe pas les ponts avec la communauté pour autant. Elle libère le code principal sous licence MIT dans un projet distinct baptisé cal.diy, pensé pour les développeurs indépendants et les amateurs. Deux vitesses, deux logiques : une pour la communauté, une pour la production.
Un signal que d’autres pourraient suivre
Le cofondateur de cal.com ne prétend pas être le seul à s’interroger. Il anticipe que de nombreuses entreprises parviendront à la même conclusion. Le modèle open source, pensé dans un monde où l’exploitation d’une vulnérabilité supposait des compétences rares, doit désormais se confronter à une réalité où l’IA démocratise l’attaque autant qu’elle démocratise le développement.
La décision de cal.com pose ainsi une question : à l’heure où les outils d’analyse automatisée réduisent à néant les barrières à l’entrée pour les acteurs malveillants, le principe d’ouverture totale du code est-il encore tenable pour les plateformes à fort enjeu ?
