L’image est devenue tristement banale dans le monde du logiciel libre. Un développeur lance un projet pour répondre à un besoin très concret. Il le partage en open source, sans grandes attentes. Le code se révèle utile, le bouche-à-oreille fait le reste, des milliers d’entreprises et d’équipes l’intègrent dans leurs produits. Puis, au fil des mois, la joie du début se transforme en fatigue, puis en lassitude. Les issues s’accumulent, les demandes deviennent des exigences, les reproches remplacent les remerciements. Et, un jour, le mainteneur se demande sérieusement s’il ne vaut pas mieux tout arrêter.
Ce scénario n’a plus rien d’anecdotique. C’est précisément ce que documente en détail la psychologue Miranda Heath dans un rapport consacré à l’épuisement des développeurs open source. Le texte, commandité par l’initiative Open Source Pledge, part de ce constat simple et inquiétant : quasiment toute l’économie numérique repose sur des briques open source, mais les personnes qui les maintiennent sont en train de craquer.
Le rapport, que l’on peut lire dans son intégralité sur le site d’Open Source Pledge, pose un diagnostic clair : le burnout des développeurs n’est pas un problème individuel, c’est un problème structurel – et il a des conséquences directes sur la sécurité.
La pression est énorme
D’après les travaux de la chercheuse, qui s’appuient sur des entretiens, des études académiques et une cinquantaine de témoignages issus de la communauté, environ 73 % des développeurs disent avoir déjà connu l’épuisement professionnel, et 60 % des mainteneurs open source ont envisagé d’abandonner complètement leurs projets. Si plus de 96 % des entreprises s’appuient sur du logiciel libre quelque part dans leur chaîne technique, cela signifie que l’infrastructure logicielle critique est maintenue par des personnes qui, pour beaucoup, travaillent « sur les nerfs ».
Le rapport rappelle ce que recouvre le burnout: une fatigue profonde, physique et mentale, une impression de n’avoir plus de carburant, une perte de motivation et de capacité à se projeter positivement dans son travail. Ce n’est pas une simple baisse de forme, mais un facteur majeur de départ, de retrait ou de désengagement. Et dans l’open source, cette dynamique est renforcée par un déséquilibre extrêmement marqué entre ce qui est demandé aux mainteneurs et ce qu’ils reçoivent en retour.
Le premier élément mis en avant est celui que Miranda Heath appelle le « double shift ». La plupart des mainteneurs ne vivent pas de leur travail open source. Ils occupent un poste à temps plein pour payer leurs factures, puis, le soir et le week-end, enchaînent sur leurs projets libres, devenus au fil du temps une sorte de second emploi clandestin. Une bibliothèque très utilisée peut exiger plusieurs heures de maintenance par jour, sans rémunération claire, sans contrat, sans filet. Cette accumulation de journées interminables, de nuits écourtées et de temps libre sacrifié finit par user même les plus passionnés.
Des développeurs isolés et… désavantagés ?
Ce déséquilibre est aggravé par un sentiment d’injustice. Les entreprises tirent des profits considérables de ces briques open source, mais les mainteneurs n’en voient presque jamais la couleur. Les enquêtes citées dans le rapport rappellent qu’une majorité de mainteneurs ne perçoivent aucun revenu lié directement à leurs projets, alors même qu’ils assurent la stabilité et la sécurité de produits commerciaux extrêmement lucratifs. Beaucoup décrivent la sensation d’être réduits à du « travail gratuit » au service d’un marché qui ne reconnaît ni la valeur, ni la fragilité de ce modèle.
À cette charge financière et temporelle s’ajoute un deuxième facteur épuisant : la toxicité d’une partie des utilisateurs. Le rapport raconte ces développeurs qui se réveillent chaque matin avec une avalanche de messages agressifs, de critiques cinglantes, de reproches sur la lenteur des corrections. Au lieu de recevoir de la gratitude pour un logiciel offert gratuitement, ils sont traités comme un service client 24/7. Certains témoignages évoquent une « colère écrasante » venant d’utilisateurs qui parlent comme s’ils avaient affaire à un fournisseur payé, alors que tout repose sur du bénévolat.
Dans ce climat, l’arrivée des contributions générées par IA ajoute une couche supplémentaire de frustration. De plus en plus de mainteneurs se retrouvent à examiner des demandes de fusion produites en quelques secondes par un outil automatisé, sans compréhension réelle du code, ce qui consomme un temps précieux pour écarter, corriger ou réécrire des modifications de mauvaise qualité. Le bénéfice de l’open source – pouvoir s’appuyer sur les contributions volontaires d’autres développeurs – se transforme en charge supplémentaire lorsqu’une part de ces contributions devient du bruit.
Un risque systémique
Le rapport insiste sur un point : cet épuisement n’est pas une simple tragédie humaine, c’est aussi un risque systémique. Quand un mainteneur clé est au bord de la rupture, les failles passent plus facilement sous le radar, les signaux faibles sont ignorés, les nouveaux venus ne sont plus examinés avec la même vigilance. L’affaire XZ Utils, en mars 2024, est citée comme un exemple emblématique : un acteur malveillant a mis près de deux ans à gagner la confiance d’un mainteneur débordé, avant d’insérer une porte dérobée dans une bibliothèque largement déployée dans le monde Linux. Ce type d’attaque de la chaîne d’approvisionnement logicielle se multiplie dans un écosystème où la charge mentale des mainteneurs dépasse largement ce qui est raisonnable.
Certaines initiatives tentent de corriger ce « contrat brisé ». L’Open Source Pledge, porté notamment par Sentry, propose aux entreprises de s’engager à verser une contribution financière annuelle par développeur aux projets dont elles dépendent. D’autres, comme la Rust Foundation, ont mis en place des fonds dédiés aux mainteneurs. Les études menées par Tidelift montrent que, lorsqu’ils sont rémunérés, les mainteneurs consacrent davantage de temps aux tâches cruciales de sécurité et de maintenance, et adoptent plus volontiers des pratiques rigoureuses de gestion des vulnérabilités.
Le modèle doit changer, maintenant
Le rapport de Miranda Heath insiste sur un point : l’argent ne suffira pas si le modèle relationnel ne change pas. Les mainteneurs ont besoin d’être rémunérés, mais aussi considérés comme des partenaires à part entière, pas comme une ressource infinie et silencieuse. Cela implique, côté entreprises, de sortir de la logique du pur « téléchargement gratuit » pour entrer dans une logique de coopération, de gouvernance partagée, de financement régulier et prévisible. Et côté communauté, de rappeler que l’open source n’est pas un service client, mais un bien commun, maintenu par des humains dont l’énergie n’est pas illimitée.
Le rapport complet, publié sous le titre « Burnout in Open Source: a structural problem we can fix together », est disponible sur le site d’Open Source Pledge . Il se termine sur une idée simple : l’épuisement des développeurs open source n’est pas une fatalité. On peut choisir de rééquilibrer l’échange, en remerciant, en finançant, en soutenant, en allégeant la pression.
