Payer 200 dollars pour acheter des étoiles GitHub, puis escroquer des millions de dollars auprès de fonds de capital-risque : toute la chaîne industrielle des « étoiles factices » sur GitHub révélée
TechFlow SélectionTechFlow Sélection
Payer 200 dollars pour acheter des étoiles GitHub, puis escroquer des millions de dollars auprès de fonds de capital-risque : toute la chaîne industrielle des « étoiles factices » sur GitHub révélée
« Le nombre d’étoiles peut être truqué, mais un correctif de bogue qui permet à quelqu’un de gagner un week-end ne peut pas l’être. »
Dédié à des analyses Web3 approfondiesAuteur : Claude, TechFlow
Introduction de TechFlow : Une étude évaluée par des pairs menée par l’Université Carnegie Mellon (CMU) révèle l’existence d’environ 6 millions d’étoiles factices sur GitHub, affectant 18 600 dépôts et 301 000 comptes. Les projets liés à l’intelligence artificielle (IA) et aux grands modèles linguistiques (LLM) constituent la catégorie non malveillante la plus touchée par ce phénomène. Sur les marchés spécialisés, le prix unitaire d’une étoile peut descendre jusqu’à 0,03 dollar américain ; or, selon les données de Redpoint, la médiane du nombre d’étoiles pour les projets en phase de financement amorçage auprès des fonds de capital-risque (VC) s’élève à 2 850 étoiles — autrement dit, moins de 200 dollars suffisent pour « acheter » une popularité artificielle permettant de franchir le seuil d’éligibilité à un tour de financement amorçage.
Les « étoiles » GitHub (« stars ») se transforment progressivement en une escroquerie soigneusement emballée.
Le 13 avril, Awesome Agents a publié un rapport d’enquête exposant une chaîne de valeur grise bien établie autour des étoiles GitHub, désormais pleinement opérationnelle à la lumière du jour : des articles scientifiques quantifient l’ampleur du problème, plus d’une dizaine de sites web vendent ouvertement des étoiles, tandis que certains fonds de capital-risque intègrent directement le nombre d’étoiles dans leurs critères de sélection des projets.
L’équipe d’enquête a mené une vérification indépendante sur 20 dépôts et constaté que, pour certains d’entre eux, de 36 % à 76 % des étoiles provenaient de comptes n’ayant aucun abonné, et que leur ratio « fork / star » était inférieur à un dixième de la valeur de référence observée sur des projets authentiques.
Ce rapport s’appuie principalement sur un article évalué par des pairs, coécrit par des chercheurs de la CMU, de l’Université d’État de Caroline du Nord et de la société Socket, et présenté lors de la conférence ICSE 2026 (International Conference on Software Engineering). L’outil de détection développé par l’équipe de recherche, StarScout, a analysé 20 téraoctets de métadonnées GitHub (6,7 milliards d’événements, 326 millions d’étoiles, couvrant la période allant de 2019 à 2024), identifiant au final environ 6 millions d’étoiles suspectes, 18 600 dépôts concernés et quelque 301 000 comptes impliqués.
6 millions d’étoiles factices : une croissance explosive en 2024, les projets IA particulièrement visés
Les étoiles factices ne sont pas un phénomène nouveau, mais leur volume a connu une croissance exponentielle en 2024. Selon les données présentées dans l’article de la CMU, moins de 10 dépôts étaient impliqués chaque mois dans des activités de falsification d’étoiles avant 2022 ; ce chiffre a culminé en juillet 2024 à 3 216 dépôts et 30 779 comptes participants. À la fin de juillet 2024, 16,66 % des dépôts disposant de plus de 50 étoiles avaient participé à de telles activités.
La précision de la détection effectuée par l’équipe de recherche a été indirectement validée par les propres actions de GitHub : 90,42 % des dépôts marqués par StarScout ont été supprimés, tout comme 57,07 % des comptes signalés.
Dans la classification des usages des étoiles factices, la majorité servent à promouvoir des dépôts de logiciels malveillants trompeurs, conçus pour une durée de vie très courte. Toutefois, parmi les cas non malveillants, les projets liés à l’IA et aux LLM occupent la première place, avec un total de 177 000 étoiles factices — un chiffre supérieur à celui des projets blockchain/crypto-monnaies. L’article précise que « beaucoup de ces dépôts correspondent à des codes sources associés à des publications académiques ou à des startups spécialisées dans les LLM ». Plus important encore, 78 dépôts détectés comme impliqués dans des activités de falsification d’étoiles sont parvenus à figurer sur la page GitHub Trending, prouvant ainsi que les étoiles achetées peuvent effectivement manipuler avec succès l’algorithme de recommandation de la plateforme.
Une étoile à partir de 3 cents : des marchés de falsification ouvertement opérationnels
Il ne s’agit pas ici d’un commerce clandestin sur le dark web. Le rapport d’enquête confirme qu’au moins une dizaine de sites web vendent ouvertement des étoiles GitHub, notamment SocialPlug.io, Buy.fans et Boost-Like.store. Sur Fiverr, 24 services actifs proposent des prestations de « boosting » d’étoiles, allant de forfaits basiques à 5 dollars à des offres « promotion organique » à plus de 25 dollars.
Les tarifs se divisent en trois catégories : économique (comptes nouveaux, uniques) à 0,03–0,10 dollar par étoile, intermédiaire à 0,20–0,50 dollar, et haut de gamme (comptes « élevés », avec plusieurs années d’historique) à 0,80–0,90 dollar. Ce dernier niveau garantit explicitement la « stabilité » des étoiles (aucune perte) et propose une assurance de rattrapage sur 30 jours. SocialPlug affirme avoir livré au total 3,1 millions d’étoiles à plus de 53 000 clients, et même mis à disposition une interface API permettant des achats programmés en masse.
Des plateformes d’échange d’étoiles telles que GithubStarMate.com et SafeStarExchange.com adoptent un modèle fondé sur un système de points, permettant aux utilisateurs d’échanger des étoiles sans débourser d’argent. GitHub héberge également au moins sept outils open source (tels que fake-git-history ou commit-bot), spécifiquement conçus pour falsifier les graphiques d’historique des contributions. Des comptes GitHub préconfigurés, dotés d’un historique de soumissions de cinq ans et d’un badge de contributeur au Arctic Code Vault, sont commercialisés sur Telegram pour environ 5 000 dollars.
Une étude menée en 2020 par l’Université Tsinghua documentait déjà le fonctionnement des groupes de promotion sur QQ et WeChat en Chine : des groupes comptant plus de 1 020 membres traitaient quotidiennement environ 20 dépôts, générant une estimation de bénéfices annuels pour ce secteur comprise entre 3,4 et 4,4 millions de dollars américains.
Les VC utilisent les étoiles comme critère de sélection : 200 dollars suffisent pour « atteindre » le seuil d’un tour amorçage
Le lien entre le nombre d’étoiles et le financement n’est pas une simple hypothèse : il est explicitement reconnu par les fonds de capital-risque eux-mêmes.
Jordan Segall, associé chez Redpoint Ventures, a analysé 80 entreprises spécialisées dans les outils pour développeurs et constaté que, pour les tours de financement amorçage, la médiane du nombre d’étoiles GitHub était de 2 850, et de 4 980 pour les tours de série A. Il souligne clairement : « De nombreux VC développent des robots internes afin d’identifier les projets GitHub dont le nombre d’étoiles augmente rapidement ; les étoiles constituent l’indicateur le plus surveillé. »
Cette donnée fournit aux startups une liste d’achats parfaitement précise. En optant pour des étoiles bon marché, une startup peut générer 2 850 étoiles — soit la médiane requise pour un tour amorçage — pour un coût compris entre 85 et 285 dollars. Pour atteindre le seuil de la série A, elle devrait dépenser entre 990 et 4 500 dollars. Comparé aux montants typiques d’un tour amorçage (1 à 10 millions de dollars), le rapport coût-bénéfice s’échelonne ainsi entre 3 500 et 117 000.
L’indice ROSS (Ranking of Open-Source Startups), publié chaque trimestre par Runa Capital, renforce encore davantage cet incitatif. Selon TechCrunch, 68 % des sociétés figurant dans l’indice ROSS ont obtenu un financement en phase amorçage, pour un montant total levé suivi s’élevant à 169 millions de dollars. Une analyse indépendante conduite dans le cadre du rapport d’enquête révèle que Union Labs, classée première de l’indice ROSS au deuxième trimestre 2025 (croissance de 54,2 fois le nombre d’étoiles, totalisant 74 300 étoiles), présente de sérieuses présomptions de fraude : 32,7 % de ses étoiles proviennent de comptes sans dépôt, 52 % de comptes sans abonné, et StarScout marque 47,4 % de ses étoiles comme suspectes. Une référence largement citée par les VC voit donc son leader exposé à une fraude touchant près de la moitié de ses étoiles.
Des exemples concrets illustrent déjà la chaîne de conversion « étoiles → financement » : Lovable (anciennement GPT Engineer), grâce à plus de 50 000 étoiles, a levé 7,5 millions de dollars en pré-amorçage, puis atteint une valorisation de 1,8 milliard de dollars lors de sa série A ; Browser-use a obtenu 17 millions de dollars en tour amorçage après avoir accumulé 50 000 étoiles en trois mois ; Pangolin, avec seulement 1 000 étoiles, a été sélectionné par Y Combinator et a levé 4,7 millions de dollars en tour amorçage dans les huit mois suivants.
Une application inégale des règles par GitHub : suppression des dépôts, mais pas des comptes
La politique d’utilisation acceptable de GitHub interdit explicitement les « interactions factices », la « manipulation du classement » et la création de marchés secondaires destinés à la vente d’étoiles factices ; elle prohibe même spécifiquement les campagnes de falsification motivées par des « distributions gratuites de crypto-monnaies » (airdrops).
Toutefois, l’application de ces règles reste passive et inégale. GitHub a supprimé 90,42 % des dépôts signalés par StarScout, mais n’a nettoyé que 57,07 % des comptes responsables. La « main-d’œuvre » derrière cette industrie des étoiles factices demeure donc largement intacte. Après la publication, en 2023, d’un rapport d’enquête par Dagster, les comptes frauduleux correspondants ont été supprimés dans les 48 heures — mais il s’agissait là d’une réaction à une exposition publique, non d’une détection proactive.
L’équipe de recherche de la CMU recommande à GitHub de remplacer le décompte brut des étoiles par un indicateur pondéré de popularité fondé sur la centralité des réseaux, afin de démanteler structurellement l’économie des étoiles factices. À ce jour, GitHub n’a pas mis en œuvre cette proposition.
Un cercle vicieux auto-renforçant se met ainsi en place : les VC utilisent les étoiles comme signal de sélection → les startups achètent des étoiles → les VC perçoivent une chaleur artificielle → davantage de VC adoptent les étoiles comme indicateur de suivi → davantage de startups achètent des étoiles. Les chiffres de référence publiés ouvertement par Redpoint (2 850 étoiles pour un tour amorçage, 4 980 pour une série A) équivalent à fournir aux startups une liste d’achats clairement tarifée.
Comme l’a noté un commentateur dans le rapport d’enquête : « Le nombre d’étoiles peut être falsifié, mais on ne peut pas falsifier un correctif qui sauve le week-end de quelqu’un. »
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
