C’est un cri d’alarme qui se transforme enfin en action structurée. Cette semaine, Sonatype et les principaux gestionnaires de registres de paquets (Maven Central, PyPI, npm, NuGet) ont annoncé la création du Sustaining Package Registries Working Group sous l’égide de la Linux Foundation. L’objectif est simple mais vital : trouver un modèle économique pérenne pour les infrastructures qui supportent le poids du monde numérique.
En 2025, le compteur a explosé : 10 000 milliards de téléchargements de paquets open source ont été enregistrés. Une démesure qui place les registres publics au bord de la rupture technique et financière.
La « tragédie des communs » version Cloud
Le constat dressé par Brian Fox, CTO de Sonatype et gardien de Maven Central, est sans appel. Nous vivons une « tragédie des communs » numérique. Alors que le logiciel libre génère une valeur économique estimée à 8 000 milliards, son infrastructure de distribution est traitée par les entreprises comme un réseau de diffusion de contenu (CDN) gratuit et illimité.
Les chiffres publiés dans le rapport 2026 de Sonatype sur la chaîne d’approvisionnement sont vertigineux :
-
82 % de la consommation de Maven Central provient de moins de 1 % des adresses IP mondiales.
-
80 % du trafic est généré par les trois plus grands fournisseurs de cloud mondiaux.
-
Des pipelines CI/CD et des agents IA téléchargent les mêmes paquets des centaines de milliers de fois par jour, saturant la bande passante sans aucune contribution en retour.
Vers un modèle de financement obligatoire ?
Le nouveau groupe de travail ne veut plus se contenter de dons volontaires. L’idée, déjà évoquée par l’OpenSSF, est de mettre en place des modèles d’accès à plusieurs niveaux.
« Cela doit devenir obligatoire, et non facultatif », a martelé Brian Fox.
Le plan est de maintenir la gratuité totale pour les particuliers, les étudiants et les contributeurs open source, tout en imposant des contributions financières aux utilisateurs commerciaux à fort volume. Cette manne permettrait non seulement de payer les factures de serveurs, mais aussi de répondre aux nouvelles exigences réglementaires, comme le Cyber Resilience Act (CRA) de l’UE, qui impose une sécurité accrue et une disponibilité sans faille.
Plus que de la bande passante : un enjeu de sécurité
La crise de soutenabilité dépasse le simple coût de l’électricité. Aujourd’hui, un registre moderne doit assurer la signature des paquets, une réponse quasi instantanée aux attaques sur la chaîne d’approvisionnement et une résilience face aux pics de charge des outils de génération de code pilotés par l’IA.
La Linux Foundation a déjà commencé à sortir le carnet de chèques en attribuant 12,5 millions de dollars de subventions (soit 11,6 milliards d’euros) via son initiative Alpha-Omega, mais ce n’est qu’une goutte d’eau face aux besoins. Comme le rappelait Fox dans un récent podcast OpenSSF, prélever seulement 1 % de la valeur générée par l’open source suffirait à sécuriser l’avenir technologique de la planète.
