Une lettre ouverte s'opposant à la décision du NHS England de rendre ses logiciels open source privés, invoquant des craintes liées au piratage par IA, a recueilli 682 signatures, dont celles de l'auteur Cory Doctorow et de l'ancien secrétaire à la Santé Matt Hancock. Les critiques soutiennent que cette politique nuit à la transparence et à la sécurité du code financé par les contribuables.
Comme rapporté plus tôt cette semaine, le NHS England a ordonné à son personnel le 1er mai de privatiser tous les référentiels open source existants et futurs d'ici le 11 mai, citant les risques posés par des modèles d'IA comme Mythos d'Anthropic, qui a récemment démontré sa capacité à identifier des failles logicielles. Cette politique, qui contredit les normes antérieures du NHS exigeant l'ouverture du code financé par des fonds publics, a fait face à une opposition immédiate.
Une lettre ouverte coécrite a attiré 682 signatures, dénonçant cette mesure comme préjudiciable à la transparence et à la sécurité. Parmi les signataires figurent Cory Doctorow et l'ancien secrétaire à la Santé britannique Matt Hancock, qui a qualifié cette décision d'« énorme erreur » sur LinkedIn : « L'une des choses les plus intelligentes que le NHS ait faites ces dernières années est de rendre son code open source. Les contribuables l'ont payé, ils devraient donc en bénéficier. Mais l'argument pratique est tout aussi solide : le code open source est testé plus rigoureusement, plus sécurisé, et permet aux meilleurs esprits du monde entier de s'appuyer dessus. »
Vlad-Stefan Harbuz de l'Université d'Édimbourg, co-auteur de la lettre, a utilisé Mythos pour scanner le code public existant du NHS, révélant des vulnérabilités critiques qu'il a divulguées de manière responsable. « Ce sont les personnes bienveillantes que nous pénalisons en fermant le code, pas les attaquants », a-t-il déclaré.
Terence Eden, expert en ouverture des données au sein de la fonction publique britannique, a partagé cet avis, qualifiant l'open source de « non négociable » pour la confiance dans les outils de santé. Malgré ces inquiétudes, l'Institut britannique de sécurité de l'IA a estimé que Mythos ne représentait un risque que pour les « systèmes d'entreprise petits, faiblement défendus et vulnérables », sans menace pour les réseaux sécurisés.
Le NHS England maintient que cette restriction est temporaire : « Nous continuerons à publier le code source lorsqu'il y aura un besoin clair. » Le ministère britannique de la Santé et des Affaires sociales n'a pas souhaité faire de commentaires.
