C'est quoi vraiment ? À quoi ça sert ? Comment les boîtes vivent en faisant du gratuit ? Pourquoi l'IA change tout ? Quels outils essayer ? Comment éviter de se faire avoir ? Le tutoriel complet, sans jargon, en partant du principe que tu n'as jamais ouvert un terminal.
L'open source, c'est du code informatique que tu as le droit de lire, de modifier et de redistribuer. Imagine une recette de cuisine publiée en entier, avec la liste des ingrédients et chaque étape : tu peux la cuisiner, la changer à ta sauce, et la repartager modifiée. Pour qu'un logiciel mérite vraiment l'étiquette « open source », il doit cocher dix critères très précis posés par l'Open Source Initiative (l'OSI), une association de référence créée en 1998.
Pas de petits caractères, pas d'exclusion par profession, pas de « gratuit pour les particuliers seulement ». Sans ces dix critères, ce n'est plus de l'open source. C'est autre chose. Et la nuance compte beaucoup, comme tu vas voir.
Avant d'aller plus loin, fixons le vocabulaire. Quatre mots qu'on entend partout et que personne ne distingue clairement.
| Terme | Ce que ça veut dire | Exemple |
|---|---|---|
| Open source | Code lisible, modifiable, redistribuable, sans restriction d'usage. Validé par les dix critères OSI. | Linux, Firefox, VS Code |
| Free software | Quasi pareil que open source. Même camp, vocabulaire différent. Free veut dire « libre » en anglais (pas « gratuit »). | GNU, GIMP, GPL |
| Source available | Tu peux lire le code, mais ton usage est restreint (pas de revente comme service, pas de concurrence directe). Ce n'est PAS open source. | Elastic, Redis (depuis 2024), HashiCorp Terraform |
| Open weights | Spécifique à l'IA. Tu peux télécharger les paramètres du modèle, mais pas les données qui ont servi à l'entraîner. Pas vraiment open source au sens strict. | Llama (Meta), Mistral 7B |
Beaucoup d'éditeurs jouent sur ces nuances pour vendre un produit qui n'est pas vraiment open source. Llama de Meta est constamment présenté comme « open source » — il ne l'est pas, l'OSI a tranché en 2024. C'est de l'open weights, ce qui veut dire qu'il y a des restrictions cachées dans la licence. Lire avant de signer.
Pour comprendre où on en est, il faut savoir d'où ça vient. Quarante ans, cinq moments-clés.
Le logiciel n'est pas un produit. IBM vend des machines hors de prix, le code vient avec, gratuitement. Les universités s'échangent leurs programmes par cartes perforées. C'est la culture par défaut.
Richard Stallman, chercheur au MIT, ne peut plus modifier les drivers de son imprimante. Il lance le projet GNU et fonde la Free Software Foundation. En 1989, il publie la GPL : si tu utilises mon code, tu dois publier le tien.
Étudiant finlandais de 21 ans, Linus poste sur Usenet : « Je fais un OS libre, juste un hobby ». Trente-cinq ans plus tard, son code fait tourner 96% des serveurs web et tous les supercalculateurs.
Netscape ouvre le code de son navigateur (futur Firefox). Eric Raymond, Bruce Perens et Christine Peterson inventent le mot « open source » pour faire moins peur aux entreprises. L'Open Source Initiative est créée dans la foulée.
Android (2008), GitHub (2008), VS Code en open source (2016), rachat GitHub par Microsoft (2018, 7,5 milliards), pivots de licences (2021-2024), explosion de l'IA ouverte (Llama, Mistral, DeepSeek). Aujourd'hui, plus de 90% des logiciels d'entreprise contiennent au moins un composant open source.
Une licence, c'est le contrat qui dit ce que tu as le droit de faire avec le code. Ne pas savoir lire une licence, c'est comme acheter un appartement sans lire l'acte de vente. Bonne nouvelle : il n'y a que trois familles à comprendre.
Le tableau qu'on aurait dû te donner direct.
| Tu veux... | Choisis | Exemples connus |
|---|---|---|
| Maximum d'adoption, code utilisable même dans du fermé propriétaire | MIT ou BSD | React, Rails, Node.js, VS Code |
| Idem, mais avec protection brevets | Apache 2.0 | Android, Kubernetes, TensorFlow, Mistral |
| Forcer ceux qui modifient ton code à publier leurs modifs | GPL v2 ou v3 | Linux, Git, WordPress, VLC |
| Forcer même les services en ligne (cloud, SaaS) à publier | AGPL v3 | Mastodon, Nextcloud, Plausible |
| Diffuser une lib utilisable dans du proprio sans tout obliger à libérer | LGPL | FFmpeg, GTK, glibc |
| Tu hésites | choosealicense.com | Site GitHub qui te pose 3 questions et te dit quoi prendre |
Open source ≠ gratuit. Red Hat, racheté 34 milliards par IBM, vend du Linux. Open source ≠ amateur. 96% du web tourne dessus. Open source ≠ personne n'est responsable. Linux Foundation, Apache Foundation, Mozilla : gouvernance carrée, sécurité auditée par des milliers d'yeux.
C'est la première question qui revient, à chaque fois. Réponse en une phrase : le code est gratuit, mais tout ce qu'il y a autour ne l'est pas. Le support, l'hébergement, les fonctions entreprise, la garantie juridique. Voici les trois cas qui le prouvent.
Tu donnes le code gratuitement, tu vends du conseil, du support et des garanties. Référence : Red Hat, SUSE, Canonical (Ubuntu).
Le code est libre, mais la version « clé en main » qui tourne dans le cloud avec sauvegarde et scaling auto, tu la paies au mois. Référence : MongoDB Atlas, Elastic Cloud, Confluent.
La version communautaire est gratuite. Les fonctions dont les grosses boîtes ont besoin (connexion à un annuaire, audit, sécurité avancée) sont payantes. Référence : GitLab, Sentry, Cal.com, Plausible.
Le code est sous une licence virale (GPL). Si tu veux l'intégrer dans ton produit fermé sans publier ton code, tu paies une licence commerciale. Référence : MySQL historique, Qt.
La communauté paie volontairement les mainteneurs via GitHub Sponsors ou Open Collective. Marche bien pour les petits projets, jamais permis de bâtir une vraie boîte. Référence : Vue.js (Evan You), Sindre Sorhus.
L'image d'Épinal du contributeur qui code Linux le week-end pour la beauté du geste, c'est faux. 84% des commits du noyau Linux en 2025 sont signés par des salariés en CDI dans des grandes entreprises : Intel, Google, Red Hat, IBM. Pourquoi ? Parce qu'Intel a besoin que Linux supporte parfaitement ses processeurs, Google fait tourner Android dessus sur trois milliards de smartphones, et Red Hat vend du support. L'open source moderne, c'est de l'investissement industriel partagé, pas du bénévolat romantique. Gouvernance assurée par la Linux Foundation, l'Apache Software Foundation et leurs équivalents.
Depuis trois ans, plusieurs grosses boîtes ont changé la licence de leur produit phare, du jour au lendemain, pour bloquer Amazon Web Services et les autres clouds qui les revendaient sans contribuer en retour. Effet de bord immédiat : ce n'est plus de l'open source. La communauté a réagi en créant des copies sous l'ancienne licence, qu'on appelle des « forks ».
| Outil | Date | Avant → Après | Réaction |
|---|---|---|---|
| Elastic | Janvier 2021 | Apache 2.0 → SSPL | AWS forke → OpenSearch |
| HashiCorp Terraform | Août 2023 | MPL → BSL | Linux Foundation forke → OpenTofu |
| Redis | Mars 2024 | BSD → SSPL | AWS, Google, Oracle forkent → Valkey |
L'argument des fondateurs est toujours le même : « AWS prend notre logiciel, le revend en service managé, fait des centaines de millions dessus, et ne nous renvoie rien. Sans pivot, on meurt ». L'argument des opposants : « Vous reprenez le mot open source pour vendre un produit qui n'en est plus un ».
Mon avis personnel : les deux camps ont raison. Mais retiens ça : avant de t'engager sur un outil critique pour ton activité, regarde qui contrôle la licence. Une fondation indépendante (Linux Foundation, Apache Software Foundation, Cloud Native Computing Foundation) = pas de risque de pivot. Une boîte unique avec actionnaires = risque réel.
Tu utilises ChatGPT, Claude, peut-être Gemini. Tous fermés : tu ne peux les utiliser que via leur site ou leur API, tes données passent forcément par leurs serveurs. Mais depuis 2024, une autre constellation a explosé en puissance : les modèles ouverts. Tu peux les télécharger, les faire tourner sur ton MacBook ou ton PC, sans envoyer la moindre donnée à qui que ce soit.
| Modèle | Éditeur | Licence | Vraiment open source ? |
|---|---|---|---|
| Llama 4 | Meta | Llama Community License | Non — restrictions commerciales (clause anti-concurrence à 700M utilisateurs) |
| Mistral Small 4 | Mistral AI (France) | Apache 2.0 | Open weights libre — utilisable commercialement sans contrainte |
| DeepSeek R1 | DeepSeek (Chine) | MIT | Open weights libre — celui qui a fait s'effondrer la bourse |
| Qwen 3 | Alibaba | Apache 2.0 | Open weights libre — supporte 119 langues |
| OLMo 3 | Allen Institute (AI2) | Apache 2.0 + dataset Dolma | Vraiment open source — weights + code training + données publiés |
Le 27 janvier 2025, une boîte chinoise quasi inconnue publie DeepSeek R1, un modèle de raisonnement comparable à GPT-o1 d'OpenAI. Coût d'entraînement annoncé : 5,6 millions de dollars au lieu des centaines de millions habituels. Open source. Le marché tranche le lendemain : NVIDIA perd 589 milliards de capitalisation en une seule séance, le plus grand jour de pertes pour une entreprise unique de toute l'histoire de la finance. Toute la thèse « il faut des milliards et des GPU à 30 000 dollars pour faire de l'IA » s'effondre. Si tu veux le récit complet de cette journée, je le raconte dans l'épisode 4 de mon podcast Guerres d'IA.
Trois exemples concrets pour comprendre.
Tu es avocat et tu veux faire analyser cinquante contrats clients par une IA. Avec ChatGPT, tes documents partent chez OpenAI et tu violes ton secret professionnel. Avec Mistral installé en local via Ollama, l'analyse se fait sur ta machine. Aucune donnée ne sort.
Tu es directeur financier d'une PME française. La DSI ne valide pas ChatGPT pour des raisons de souveraineté. Mistral, hébergé en France, sous licence Apache 2.0, te donne des garanties claires.
Tu diriges un cabinet de comptables et tu veux une IA qui maîtrise le plan comptable français. Avec un modèle ouvert, tu peux le « fine-tuner » — le nourrir avec tes propres documents pour qu'il devienne expert. Avec GPT-5, impossible.
Voici comment faire tourner un vrai modèle d'IA chez toi, sans abonnement, sans envoyer la moindre donnée.
ollama.com et télécharge la version Mac, Windows ou Linux. Double-clique l'installeur.mistral ou llama3. Le téléchargement prend cinq minutes la première fois.Si tu préfères une vraie interface graphique, regarde LM Studio (interface propre style Discord) ou Open WebUI (qui imite parfaitement ChatGPT). Avec 16 Go de RAM (le standard d'un MacBook moderne), tu fais tourner sereinement Mistral 7B ou Llama 3 8B. Qualité comparable à GPT-3.5.
Pour le tuto complet — choix matos, modèles, RAG, comparaison cloud vs local, pièges débutants — j'ai écrit l'article jumeau de celui-ci : Faire tourner une vraie IA chez toi. C'est la suite naturelle quand tu veux passer du « je télécharge en 5 min » au « je l'utilise tous les jours sur mes vrais documents ».
Tu n'as pas besoin de coder pour profiter de l'open source. La plupart des outils s'installent en deux clics, comme une app classique. Voici ma sélection par catégorie.
Alternative à Microsoft Office. Couvre 95% des besoins perso et TPE. Lit nativement les fichiers .docx, .xlsx, .pptx.
Alternative à Notion ou Evernote. Notes Markdown chiffrées synchronisées entre tous tes appareils, sans dépendre d'un cloud propriétaire.
Collaboration temps réel sur des documents, sans envoyer tes fichiers chez Google. Compatibilité Microsoft excellente.
Documents collaboratifs chiffrés directement dans ton navigateur. Personne (pas même CryptPad) ne peut lire ce que tu écris.
Alternative à Photoshop. Retouche photo, montage, détourage. Pour 90% des besoins amateurs et freelance, ça suffit.
Alternative à Illustrator. Logos, pictos, illustrations vectorielles. Format SVG natif.
Peinture digitale, illustration, BD. Sur tablette graphique avec stylet, c'est un vrai bonheur.
Alternative à Figma. Design d'interface (sites web, apps). Penpot 2 supporte CSS Grid nativement.
Enregistrer ta voix pour un podcast, nettoyer un audio. Interface vieillotte assumée mais redoutablement efficace.
Streaming Twitch, YouTube, enregistrement d'écran. Standard absolu chez les streamers.
Montage vidéo pour YouTube ou usage familial. Multi-pistes classique. Sauvegarde souvent.
Alternative iMovie / Movie Maker. Plus simple que Kdenlive, parfait pour démarrer.
L'outil qui te permet de lancer Mistral, Llama, DeepSeek en local sur ton ordi. Installation deux clics.
Vraie licence open source, modèle français. Excellent à 16 Go de RAM.
Génération d'images en local, alternative Midjourney. Demande une carte graphique correcte.
Transcription audio multilingue (99 langues). Le standard que beaucoup d'outils paid utilisent en coulisses.
Alternative à Slack. Interface très proche, transition indolore.
Visio rapide à 2-15 personnes, sans création de compte. Lien partageable instantanément.
Messagerie chiffrée, fédérée. Comme l'email, ton serveur peut parler à un autre.
Suite collaborative complète : fichiers, calendrier, contacts, visio. Le couteau suisse open source.
Gestionnaire de mots de passe gratuit, qui marche partout. Si tu n'en utilises pas encore, arrête tout et installe ça aujourd'hui.
Le seul navigateur grand public encore vraiment indépendant de Google et Apple. Excellente gestion vie privée.
Excellent éditeur de texte évolué, même pour du Markdown ou des fichiers de config. Meilleur que TextEdit.
Alternative à Google Analytics. Sans cookie banner RGPD, sans envoi de données chez Google.
Bitwarden (sécurité immédiate, zéro friction) → Firefox (un clic, tu remplaces Chrome sans rien perdre) → LibreOffice (95% des besoins bureautiques perso) → Joplin (notes simples, tes données restent à toi) → Audacity (parfait pour découvrir l'open source par la pratique).
L'erreur quand on débute, c'est de vouloir tout suivre. Intenable. La bonne approche : cinq minutes par jour, trente minutes par semaine, et des sources qui font le tri pour toi.
L'incontournable de la vulgarisation tech en français. Korben teste les outils, explique les enjeux, vulgarise sans être condescendant. Si un outil open source mérite l'attention en France, il en parle.
La référence absolue. Page d'accueil mise à jour en continu, communauté de devs et fondateurs ultra réactive. Tout outil open source qui prend de l'ampleur passe par là. Adresse : news.ycombinator.com.
Newsletter hebdomadaire dédiée aux outils dev open source. Ultra curatée, jamais de bruit. Idéal si tu veux qu'on te livre la sélection sans avoir à scroller.
Pour automatiser, ajoute un dossier « Open Source » dans Feedly (gratuit) avec tes flux RSS. Tu ouvres cinq minutes par jour, tu marques comme lu, tu sauvegardes un ou deux articles à creuser le week-end. C'est tout.
Si tu intègres du code sous licence GPL dans ton produit propriétaire fermé, tu DOIS publier ton code source entier sous GPL. Pas une partie. Tout. Beaucoup de startups l'ont appris à leurs dépens. Solution : vérifier la licence de chaque dépendance avant installation.
En janvier 2022, le mainteneur de colors.js (utilisée par 3,3 milliards de téléchargements de projets) a délibérément cassé son propre code, fatigué de maintenir gratuitement. Des milliers d'applications en production sont tombées du jour au lendemain. À anticiper : date du dernier commit, nombre de contributeurs actifs, sponsors visibles.
HashiCorp Terraform, Redis, Elastic ont tous changé de licence du jour au lendemain entre 2021 et 2024. Tu utilisais quelque chose d'open source, tu te retrouves avec quelque chose qui ne l'est plus. Détecte le risque en amont : qui contrôle la licence ? Une fondation = sûr. Une boîte unique avec actionnaires = risque.
DaVinci Resolve, Discord, Notion, Skype, Zoom : tous gratuits, tous propriétaires. Tu peux les utiliser, mais tu n'as aucun droit sur le code, aucune visibilité, aucune garantie. Du jour où l'éditeur change d'avis (rachat, pivot, faillite), tu perds tout.
Llama et Mistral sont systématiquement présentés comme open source. Llama ne l'est pas (license restrictive avec clause anti-concurrence). Mistral l'est sur ses petits modèles (Apache 2.0), mais pas sur les gros. Lis la licence avant d'engager du temps de dev sur un modèle.
Les attaques sur la chaîne d'approvisionnement open source sont une réalité. Trois épisodes récents qui doivent te servir de leçon.
Log4Shell (décembre 2021) : faille de gravité maximale dans Log4j, librairie utilisée partout dans le monde. Permettait à n'importe qui d'exécuter du code à distance sur n'importe quel serveur vulnérable. Existait silencieusement depuis 2013.
XZ Utils (mars 2024) : l'attaque la plus glaçante de l'histoire récente. Un attaquant a passé plus de deux ans à contribuer honnêtement à un utilitaire de compression utilisé par toutes les distributions Linux. Il a gagné la confiance, est devenu co-mainteneur, puis a inséré une porte dérobée. Détectée par hasard par un ingénieur Microsoft (Andres Freund) qui avait remarqué que ses connexions SSH prenaient 500 ms au lieu de 100 ms.
Polyfill.io (juin 2024) : un service JavaScript utilisé sur 100 000 sites est racheté par un acteur malveillant. À partir de juin, le service injecte du code malveillant qui redirige les visiteurs mobiles vers des sites de scam.
cve.mitre.org.GitHub Dependabot sur tes repos GitHub. Va dans Settings → Security → Dependabot alerts. C'est gratuit, automatique, et ça te prévient par email à chaque vulnérabilité détectée dans tes dépendances. Un clic, des semaines de galère évitées.
L'écosystème open source en 2026 est mature, varié, accessible. Tu peux remplacer 80% de ta stack propriétaire sans rien perdre en qualité, juste en investissant un peu de temps d'apprentissage. Le pire qui puisse t'arriver en essayant : tu désinstalles. Le meilleur : tu économises 200€ par an d'abonnements et tu reprends le contrôle de tes données.
Mes trois propositions concrètes pour démarrer :
Si tu veux que je t'envoie d'autres tutos comme ça (sur l'IA, l'open source, les outils que je teste), inscris-toi à AI Playbook — c'est ma veille hebdomadaire, je te partage la même chose qu'à moi-même. Et si tu as une question, une remarque, ou tu penses que je me trompe quelque part dans cet article, écris-moi. Je lis tout, je ne le prends pas mal.
L'open source, c'est du code informatique que tu as le droit de lire, de modifier et de redistribuer. Pour mériter l'étiquette, un logiciel doit cocher dix critères précis posés par l'Open Source Initiative (OSI), une association de référence créée en 1998. Sans ces dix critères, ce n'est plus de l'open source, c'est autre chose.
Non. Open source ne veut pas dire gratuit. Red Hat, racheté 34 milliards de dollars par IBM en 2019, vend du Linux. Le code est libre, mais le support, l'hébergement, les fonctions entreprise et la garantie juridique se paient.
Mon top 5 pour démarrer : Bitwarden (gestionnaire de mots de passe, sécurité immédiate), Firefox (navigateur indépendant de Google), LibreOffice (95% des besoins bureautiques perso), Joplin (notes Markdown chiffrées) et Audacity (édition audio). Zéro carte bancaire, installation en deux clics.
Cinq modèles économiques principaux : services et support payants (Red Hat), hosted SaaS clé en main (MongoDB Atlas génère 73% du revenu), open core avec fonctions entreprise payantes (GitLab), dual license commerciale (MySQL historique, Qt) et sponsoring via GitHub Sponsors. Le code est gratuit, mais tout ce qui l'entoure ne l'est pas.
Open source au sens strict, c'est code source plus données plus droit de modifier et redistribuer. Open weights, c'est spécifique à l'IA : tu peux télécharger les paramètres du modèle, mais pas les données qui ont servi à l'entraîner. Ce n'est pas vraiment open source au sens OSI. Llama et Mistral sont open weights, OLMo 3 de l'Allen Institute est vraiment open source.
Mistral Small 4 est sous licence Apache 2.0, vraiment libre commercialement. Llama 4 ne l'est pas : sa Llama Community License contient une clause anti-concurrence à 700 millions d'utilisateurs et l'OSI a tranché en 2024 que ce n'est pas open source. Lis la licence avant d'engager du temps de dev sur un modèle.
Cinq pièges majeurs : la contamination GPL qui force à publier ton code propriétaire, le projet abandonné ou saboté par son mainteneur (cas colors.js en 2022), le changement unilatéral de licence (Elastic, Redis, HashiCorp), le piège du gratuit non-open-source (Discord, Notion, Zoom) et la fausse open source dans l'IA (open weights présentée comme libre).
Six critères à vérifier : licence reconnue par l'OSI (MIT, Apache 2.0, BSD, MPL), repo officiel actif avec commits récents, mainteneurs identifiables avec historique, sponsors visibles (GitHub Sponsors, fondation reconnue), au moins 100 stars et forks, et zéro CVE non patché sur cve.mitre.org. Active aussi GitHub Dependabot sur tes repos.
Entre 2021 et 2024, ces trois éditeurs ont changé la licence de leur produit phare du jour au lendemain pour bloquer Amazon Web Services. Elastic est passée d'Apache 2.0 à SSPL en 2021, HashiCorp Terraform de MPL à BSL en 2023, Redis de BSD à SSPL en 2024. La communauté a réagi en créant des forks sous l'ancienne licence : OpenSearch, OpenTofu, Valkey.
Le 27 janvier 2025, la boîte chinoise DeepSeek publie R1, un modèle de raisonnement open source comparable à GPT-o1 d'OpenAI, entraîné pour 5,6 millions de dollars au lieu des centaines de millions habituels. Le lendemain, NVIDIA perd 589 milliards de capitalisation en une seule séance, le plus grand jour de pertes pour une entreprise unique de l'histoire de la finance. La thèse « il faut des milliards et des GPU à 30 000 dollars pour faire de l'IA » s'effondre.
Chaque semaine, je partage les outils open source et IA que je teste. Pas de blabla, pas de pub. Désinscription en un clic, je ne le prends pas mal.
Voir les newsletters →