Le modèle économique des primes de détection de vulnérabilités dans les logiciels à code source ouvert est entré en crise. L’Internet Bug Bounty, programme actif depuis 2012 et financé par des entreprises majeures du secteur, a suspendu les nouvelles soumissions le 31 mars 2026. En cause, l’IA, qui accélère la découverte de vulnérabilités à un rythme que les équipes de remédiation ne peuvent plus absorber. Ce n’est pas la fin des primes de détection, c’est la fin d’un modèle d’incitation conçu à une époque où trouver une faille coûtait du temps et de l’expertise.
L’Internet Bug Bounty (IBB) est l’un des programmes de référence de la sécurité à code source ouvert. Financé par un consortium de grandes entreprises technologiques, dont Facebook, GitHub, Shopify et TikTok. Son modèle de répartition a fait son succès : 80 % des primes allaient aux chercheurs qui identifiaient les failles, 20 % aux équipes qui les corrigeaient. Ce ratio reflétait une réalité économique qui a stabilisé le marché, car trouver une vulnérabilité sérieuse dans un logiciel complexe demandait du temps, une expertise rare et une connaissance approfondie des bases de code concernées.
Ce modèle a fonctionné parce qu’il reposait sur une asymétrie acceptée. La communauté des chercheurs en sécurité apportait une capacité de détection distribuée que nul mainteneur de projet à code source ouvert ne pouvait s’offrir seul. En retour, la prime transformait un effort coûteux en activité économiquement viable pour les chercheurs indépendants. L’équilibre tenait tant que la découverte d’une vulnérabilité valide restait un acte rare, exigeant, non reproductible à la chaîne. L’IA a rompu cette convention.
L’IA a renversé l’équilibre entre découverte et remédiation
La suspension intervient après que l’IA a fondamentalement modifié ce rapport de forces. Selon HackerOne, cité par InfoWorld, « la recherche assistée par IA élargit la découverte de vulnérabilités à travers l’écosystème, augmentant à la fois la couverture et la vitesse. L’équilibre entre les découvertes et la capacité de remédiation dans l’open source a substantiellement changé. » En clair : les outils IA permettent de générer des signalements de vulnérabilités à un coût marginal quasi nul, tandis que chaque rapport, valide ou non, mobilise des équipes de développement et de maintenance dont le temps reste une ressource rare et non automatisable.
Node.js est le premier projet directement affecté. Son équipe continuera d’accepter et de trier les signalements via HackerOne, mais ne disposera plus du financement IBB pour rémunérer les découvertes. D’autres projets hébergés sur le programme sont exposés à la même évolution. Le programme a indiqué qu’il évalue une refonte de sa structure d’incitations pour mieux aligner les récompenses avec la réalité opérationnelle de l’écosystème à code source ouvert.
Un signal qui dépasse l’IBB
La suspension de l’IBB fait partie d'un mouvement plus large qui a débuté en début d’année. Le projet Curl a quitté HackerOne fin janvier 2026 et supprimé l’ensemble de ses primes, après avoir reçu en quelques jours des dizaines de signalements assistés par IA, dont aucun ne s’est révélé être une vulnérabilité réelle. Chaque rapport mobilisait plusieurs relecteurs pendant une durée incompatible avec les ressources d’une équipe de développement bénévole. Le fondateur du projet a explicitement indiqué que l’objectif de la suppression des primes était de découpler l’incitation financière de la soumission de rapports de faible qualité. Google a également suspendu les soumissions générées par IA à son programme de récompenses pour les vulnérabilités des logiciels à code source ouvert.
Jusqu'à présent, les programmes de primes reposaient sur une asymétrie favorable : la découverte d’une vulnérabilité sérieuse demandait une expertise rare, ce qui justifiait une rémunération. L’IA efface cette asymétrie sur le versant quantitatif, car elle peut produire un volume massif de signalements plausibles. Toutefois, les moyens de résolution restent majoritairement humains, car identifier une vulnérabilité exploitable dans un logiciel critique reste une tâche qui exige du jugement, de la connaissance du contexte et une compréhension des impacts système. Ce que l’IA inonde, ce sont les files de triage. Ce qu’elle ne remplace pas, c’est la capacité à distinguer une faille réelle d’un artefact généré.
Pour les RSSI qui s’appuient sur la communauté de recherche en sécurité comme couche de détection complémentaire de leurs propres audits, la recomposition du marché des primes pose une question dérangeante : si les programmes publics se retirent ou se restructurent, vers quels modèles alternatifs — programmes privés sur invitation, programmes gérés avec triage externalisé, divulgation directe — se déplacera l’expertise de détection qui reste une nécessité ?
