On demande à un assistant de corriger une faute de frappe. Il s’exécute, corrige la coquille, puis modifie discrètement la description de votre travail pour y glisser sa propre publicité. C’est exactement ce que GitHub Copilot vient de faire sur des milliers de dépôts de code à travers le monde.
Une pub déguisée en conseil utile
Le développeur australien Zachary Manson a découvert le problème par hasard. Un collègue avait invoqué Copilot pour corriger un simple typo dans la description d’une pull request (une demande de modification de code soumise à révision). Copilot a bien corrigé l’erreur, mais il a aussi ajouté un paragraphe promotionnel vantant ses propres fonctionnalités et celles de Raycast, un lanceur d’applications pour macOS. Le texte ajouté ressemblait à un conseil pratique, un « tip » comme disent les anglophones, mais il s’agissait bel et bien d’une publicité insérée directement dans le contenu du projet.
L’affaire a rapidement pris de l’ampleur. Selon les recherches menées par Neowin, le même texte promotionnel apparaît dans plus de 11 000 pull requests différentes, réparties sur des milliers de dépôts GitHub. Les merge requests de GitLab, la plateforme concurrente, ne sont pas épargnées non plus. Copilot y injecte la même promotion lorsqu’il est utilisé pour modifier des descriptions de code.
Le code source devient un espace publicitaire
Le mécanisme est particulièrement insidieux. Copilot ne se contente pas d’afficher une suggestion dans l’interface utilisateur, ce qui serait déjà discutable mais resterait dans le cadre d’un bandeau classique. Il modifie le texte même des descriptions de pull requests, c’est-à-dire le contenu que les développeurs utilisent pour documenter leurs changements et communiquer avec leur équipe. Un espace de travail collaboratif devient un support publicitaire.
Sur Hacker News, le forum de référence de la communauté développeur, la discussion a attiré des centaines de commentaires. Plusieurs contributeurs ont souligné que qualifier le texte ajouté de « conseil » plutôt que de « publicité » relève d’une astuce sémantique classique. D’autres ont fait le parallèle avec les techniques de « confirmation shaming », ces boutons qui formulent le refus de manière culpabilisante pour décourager l’utilisateur de dire non.
Un commentateur résume l’état d’esprit général : « Le fait qu’ils modifient le contenu d’un dépôt avec de la publicité est totalement inacceptable. » La distinction entre un emplacement publicitaire dans l’interface et l’injection de texte promotionnel dans le code ou sa documentation est fondamentale. Dans le premier cas, l’utilisateur sait qu’il est face à une pub. Dans le second, la frontière entre outil et annonceur disparaît.
Des CGU réécrites dans le même élan
L’épisode des publicités ne tombe pas du ciel. Cinq jours plus tôt, le 25 mars, GitHub publiait discrètement une mise à jour majeure de ses conditions d’utilisation et de sa politique de confidentialité. Le changement clé : une nouvelle section J, intitulée « AI features, training, and your data », qui rassemble toutes les clauses relatives à l’intelligence artificielle en un seul endroit.
Le contenu est sans ambiguïté. À partir du 24 avril, GitHub et ses filiales (dont Microsoft) s’octroient le droit de collecter et utiliser les entrées (prompts, contexte de code) et les sorties (suggestions générées) de Copilot pour « développer, entraîner et améliorer des modèles d’IA ». Les utilisateurs des versions gratuites, Pro et Pro+ sont concernés, sauf s’ils désactivent explicitement l’option dans leurs paramètres. Seuls les abonnés Business et Enterprise échappent à cette collecte.
La simultanéité des deux événements, publicités injectées et réécriture des CGU, dessine un tableau cohérent. GitHub monétise progressivement chaque couche de sa plateforme : d’abord le code des utilisateurs comme données d’entraînement, ensuite l’espace de travail comme support publicitaire.
Le schéma classique de la dégradation des plateformes
Dans son billet, Zachary Manson cite directement le concept d’« enshittification » popularisé par l’écrivain et activiste Cory Doctorow. La théorie décrit un cycle en trois phases. D’abord, la plateforme est généreuse avec ses utilisateurs pour les attirer. Ensuite, elle exploite ces utilisateurs au profit de ses clients commerciaux. Enfin, elle exploite aussi ses clients commerciaux pour capter toute la valeur résiduelle, avant de mourir.
GitHub suit ce schéma à la lettre. Lancé en 2008, racheté par Microsoft en 2018 pour 7,5 milliards de dollars, le service est devenu incontournable avec plus de 100 millions de développeurs dans le monde. Copilot, lancé en 2021, a d’abord été proposé gratuitement aux étudiants et aux contributeurs open source. Puis les tarifs ont grimpé, la version gratuite a été restreinte, et les fonctionnalités premium réservées aux abonnements les plus chers. L’insertion de publicités dans le contenu des pull requests marque une nouvelle étape.
Plusieurs commentateurs sur Hacker News ont rappelé le précédent de SourceForge, autrefois la plateforme dominante de l’open source. Dans les années 2010, SourceForge avait commencé à empaqueter des logiciels malveillants avec les téléchargements de projets hébergés, provoquant un exode massif des développeurs vers GitHub. L’ironie d’un cycle qui se répète n’a pas échappé à la communauté.
Un outil qui modifie le travail qu’il est censé assister
Le problème dépasse la question de la publicité. Un outil d’assistance au code qui modifie silencieusement les descriptions de projets sans que l’utilisateur l’ait demandé pose un problème de confiance fondamental. Les développeurs utilisent Copilot pour gagner du temps, pas pour voir leur documentation altérée. Si l’outil peut ajouter une promotion aujourd’hui, qu’est-ce qui garantit qu’il ne modifiera pas le code lui-même demain ?
Cette question se pose d’autant plus que GitHub a récemment lancé le « Copilot coding agent », un agent autonome capable de créer et modifier des pull requests en arrière-plan. Confier davantage d’autonomie à un outil qui injecte déjà du contenu promotionnel non sollicité dans les projets revient à aggraver le risque. La communauté développeur, habituée à vérifier chaque ligne de code, se retrouve désormais obligée de vérifier aussi ce que son propre assistant y ajoute.
Face à la polémique, ni GitHub ni Microsoft n’ont publié de déclaration officielle. Le texte promotionnel continue d’apparaître dans les pull requests au moment où ces lignes sont écrites. Les développeurs qui souhaitent éviter ce comportement n’ont d’autre option que de cesser d’utiliser Copilot pour modifier les descriptions de leurs pull requests, ou de quitter la plateforme.
L’open source comme dernière ligne de défense
Sur Hacker News, plusieurs développeurs ont réagi en partageant des alternatives open source. L’argument est simple : tant qu’un outil est contrôlé par une entreprise cotée en bourse ou financée par du capital-risque, la dégradation de l’expérience utilisateur au profit de la monétisation est une question de temps, pas de probabilité. Seul le logiciel libre, que n’importe qui peut copier, modifier et redistribuer, offre une garantie structurelle contre ce type de dérive.
Un fondateur indépendant a nuancé ce point de vue en rappelant que les petites entreprises autofinancées peuvent aussi résister à la tentation, à condition que « les gens de l’argent » ne prennent pas le contrôle des décisions produit. Mais la trajectoire de GitHub, passé de startup indépendante à filiale Microsoft à machine publicitaire, illustre la difficulté de maintenir ce cap quand les actionnaires attendent un retour sur investissement de 7,5 milliards de dollars.
GitHub a prévu de rendre les nouvelles CGU effectives le 24 avril. D’ici là, les utilisateurs concernés peuvent désactiver l’entraînement IA dans leurs paramètres de compte. Pour les publicités dans les pull requests, aucun bouton de désactivation n’existe.
