Une enquête sur les fausses « stars » GitHub révèle que les mesures utilisées par les investisseurs en capital-risque pour examiner des transactions de plusieurs millions de dollars deviennent dangereusement peu fiables.
Un rapport récent exposant une industrie dédiée à la falsification des stars GitHub pour seulement 200 $ a levé le voile sur une crise croissante dans l'investissement technologique : les mesures fondamentales utilisées pour la diligence raisonnable sont facilement manipulées. Le stratagème permet à des projets naissants de signaler frauduleusement l'intérêt des développeurs, incitant les investisseurs en capital-risque à prendre des décisions de financement basées sur un élan fabriqué. Cette érosion de la confiance n'est pas un événement isolé mais le symptôme d'un effondrement plus large des signaux de vérification fiables dans le paysage numérique.
Cette vulnérabilité provient d'une dépendance excessive aux raccourcis mentaux, ou heuristiques, qui ont historiquement guidé les décisions d'investissement. « Les investisseurs deviennent plus sélectifs à tous les niveaux. Cela signifie qu'ils soutiennent de plus en plus des fondateurs ayant des antécédents prouvés », a expliqué Tasneem Dohadwala, associée fondatrice d'Excelestar Ventures, dans une analyse récente des tendances du financement par capital-risque. Cette recherche d'un « antécédent prouvé » crée une demande pour des mesures simples et lisibles comme les stars GitHub, ce qui en fait une cible privilégiée pour la manipulation en l'absence de véritable traction.
La fraude GitHub n'est qu'un exemple d'un problème généralisé. L'IA générative a réduit les compétences requises pour créer des contrefaçons convaincantes de presque n'importe quel fichier numérique, d'une vidéo deepfake qui a coûté 25 millions de dollars à une entreprise à des images médicales synthétiques qui trompent les radiologues formés plus de la moitié du temps. Une enquête sur les fausses stars GitHub, où les projets peuvent payer seulement 200 $ pour paraître populaires, montre à quel point ces illusions peuvent être achetées à bas prix, menant potentiellement à des dizaines de millions de dollars de capital mal alloués.
Cela laisse l'industrie du capital-risque dans une position précaire. Si les signaux de base de l'engagement communautaire et de l'adoption par les développeurs ne peuvent plus être crus, tout le modèle de l'investissement technologique en phase de démarrage fait face à un risque systémique. Le défi n'est plus seulement de trouver la prochaine percée, mais de discerner la réalité d'un mirage numérique sophistiqué, une tâche pour laquelle de nombreux processus de diligence raisonnable traditionnels ne sont plus équipés.
L'effondrement des heuristiques
Pendant des années, les investisseurs se sont appuyés sur des heuristiques pour évaluer le potentiel d'une startup. Un visage familier lors d'un appel vidéo, une forte croissance du nombre d'utilisateurs ou une communauté open-source dynamique étaient autant de signaux de confiance. Cependant, selon une enquête Gartner de 2025, alors que 43 % des responsables de la cybersécurité ont déjà été confrontés à des deepfakes audio, ces raccourcis deviennent des passifs. Le test de la « voix familière » est mort, tout comme le test de la « star GitHub ».
Cet échec des anciennes mesures est amplifié par des biais structurels au sein du système de capital-risque. Des recherches de la Harvard Business School montrent un modèle persistant où l'on interroge les fondateurs masculins sur les opportunités tandis que les fondatrices sont interrogées sur les risques, un biais qui récompense les récits confiants plutôt que la défendabilité prudente. Face à des données peu fiables, les investisseurs se tournent souvent par défaut vers la reconnaissance de formes et « l'investissement miroir » — finançant des fondateurs qui ressemblent et parlent comme des succès précédents. Cela crée un terrain fertile pour la fraude, car les acteurs malveillants apprennent à jouer le rôle qui obtient le financement, armés de mesures artificiellement gonflées.
Une nouvelle génération de risque systémique
Bien que la fraude individuelle soit coûteuse, une nouvelle génération d'outils d'IA présente une menace systémique bien plus grande. Les tests internes d'Anthropic sur son modèle Claude Mythos ont révélé une capacité sans précédent à trouver et à exploiter de manière autonome les vulnérabilités logicielles, y compris une faille vieille de 27 ans dans OpenBSD qui avait échappé aux experts humains pendant des décennies. L'entreprise a été contrainte de retarder la sortie publique du modèle, le qualifiant de « risque pour la sécurité publique ».
Ce développement marque un tournant décisif. L'infrastructure numérique qui sous-tend le système financier mondial et, par extension, l'écosystème des startups technologiques, s'est avérée plus fragile qu'on ne le pensait auparavant. Anthropic limite désormais l'accès au modèle à une liste de 40 organisations vérifiées, dont JPMorgan Chase et Microsoft, dans le cadre d'un protocole appelé « Project Glasswing » afin de corriger les défenses. L'incident sert d'avertissement brutal : si les bases de code mêmes des entreprises établies sont construites sur du sable, la diligence raisonnable sur le référentiel non audité d'une startup devient presque insignifiante sans une approche plus profonde et plus sceptique.
Une défense à 3 niveaux pour les investisseurs
Pour naviguer dans ce nouvel environnement, les investisseurs doivent adopter un modèle de défense par couches, passant d'heuristiques basées sur la confiance à un cadre basé sur la vérification. Cette approche, adaptée de l'informatique légale, offre un moyen structuré de gérer le risque croissant de tromperie.
Le premier niveau est le tri automatisé. Tout comme des modèles d'IA sont conçus pour détecter les médias synthétiques, de nouveaux outils sont nécessaires pour évaluer les opportunités d'investissement entrantes à la recherche de signes d'engagement artificiel. Ces systèmes peuvent signaler des modèles de croissance suspects dans les mesures communautaires, les abonnés aux réseaux sociaux ou l'utilisation de la plateforme. Bien qu'imparfaits, ils constituent un filtre nécessaire pour gérer le volume considérable de transactions.
Le deuxième niveau est la diligence humaine active. Il s'agit de l'étape critique du milieu du tunnel où les investisseurs en capital-risque doivent aller au-delà du pitch deck et du tableau de bord. Cela implique un questionnement rigoureux des mesures atypiques, des entretiens directs avec les clients présumés et des vérifications indépendantes des canaux pour confirmer les affirmations. Ce niveau remplace la confiance passive par un scepticisme actif, en décidant quels signaux d'alerte du tri automatisé justifient une enquête plus approfondie.
Le dernier niveau est la preuve médico-légale. Pour les investissements à forte conviction, en phase terminale ou stratégiquement critiques, cela peut impliquer de commander des audits de code indépendants ou des analyses informatiques légales pour confirmer l'authenticité de la base de code et des données utilisateur d'un projet. De la même manière qu'un tribunal exige une analyse au niveau de l'appareil pour prouver qu'un dossier médical est faux, ce niveau fournit la vérité de terrain. C'est coûteux et lent, mais c'est le seul niveau qui apporte une preuve, pas une probabilité. Oublier cette distinction est un risque que l'industrie ne peut plus se permettre.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
