Neura

L'économie souterraine des fausses étoiles GitHub : 6 millions de fraudes documentées

6 millions d'étoiles suspectes sur 18 617 repositories selon une étude CMU présentée à l'ICSE 2026. Comment elles se vendent (dès 0,03$), pourquoi c'est dangereux, et comment les détecter en 5 minutes.

Open SourcePublié le 20 avril 2026 à 11:39
github-fake-stars-economy

Vous avez évalué un projet GitHub, vu 12 000 étoiles, et fait confiance. Mais une partie de ces étoiles a peut-être été achetée sur Fiverr pour 0,06 dollar pièce. Une étude de l'Université Carnegie Mellon présentée à l'ICSE 2026 en avril a quantifié le problème pour la première fois à grande échelle : 6 millions d'étoiles suspectes réparties sur 18 617 repositories, générées par environ 301 000 comptes. En juillet 2024, plus de 16 % de tous les repositories avec au moins 50 étoiles étaient impliqués dans des campagnes de fausses étoiles. Ce n'est pas un problème de niche — c'est une manipulation systémique de l'écosystème open source.

Comment fonctionne l'économie des fausses étoiles

Le marché est ouvert, accessible, et sans friction. Les étoiles GitHub se vendent entre 0,03 et 0,85 dollar pièce sur des dizaines de sites, des gigs Fiverr, et des canaux Telegram. Aucun accès au dark web nécessaire. Vous pouvez acheter 500 étoiles pour votre repository ce soir, être livré demain matin, et apparaître dans GitHub Trending si la vélocité est suffisamment élevée. Les fournisseurs proposent également des packs de livraison étalée dans le temps pour simuler une croissance organique et éviter la détection algorithmique.

Les campagnes utilisent majoritairement des comptes bot créés en masse — souvent dans la même fenêtre temporelle, avec des profils squelettiques : zéro follower, zéro contribution, zéro repository. Ces comptes existent uniquement pour starrer des projets. Mais il existe aussi des campagnes d'échange — des réseaux où des développeurs réels s'échangent des étoiles mutuellement, ce qui rend la détection plus complexe car les comptes ont une activité légitime par ailleurs.

Pourquoi les étoiles ont autant de valeur

Le système d'étoiles GitHub est devenu un signal de crédibilité omniprésent. Les développeurs s'en servent pour évaluer si un projet vaut leur attention. Les équipes techniques s'en servent pour justifier l'adoption d'une librairie en interne. Et les fonds de capital-risque s'en servent explicitement comme signal de sourcing — Redpoint a documenté que le nombre médian d'étoiles au moment de la signature d'un seed est de 2 850. Des firmes font tourner des scrapers automatiques sur GitHub Trending pour trouver les prochains projets à financer.

Ce contexte économique crée une incitation massive à la manipulation. Pour un fondateur qui cherche une première levée de fonds, passer de 500 à 5 000 étoiles peut signifier la différence entre un cold email ignoré et un premier appel avec un VC. Pour une startup qui cherche des clients enterprise, un projet à 10 000 étoiles crée une présomption de crédibilité que 50 étoiles n'aurait jamais générée.

Les cas les plus dangereux : le malware sous fake popularity

L'étude CMU révèle une donnée particulièrement alarmante : environ 60 % des repositories avec des campagnes de fausses étoiles sont des repositories de phishing ou de malware. Les fausses étoiles ne servent pas seulement à gonfler une réputation — elles sont le mécanisme central d'une attaque supply chain. Un développeur qui cherche une librairie de gestion de portefeuille crypto, voit un repository avec 5 000 étoiles et des commits récents, le télécharge et l'intègre dans son projet — sans savoir qu'il vient d'installer une backdoor. Sur Neuralll, nous avons d'ailleurs couvert le cas MemPalace en avril 2026, où un audit communautaire a révélé des signaux forts de manipulation des étoiles sur un projet ayant franchi 42 000 étoiles.

Comment détecter les fausses étoiles en 5 minutes

L'étude CMU a développé StarScout, un outil de détection des comportements de starring anormaux. En attendant qu'il soit largement accessible, voici les signaux à vérifier manuellement avant d'intégrer un projet open source.

  • Ratio fork/étoiles anormalement bas — Un projet organique accumule généralement des forks proportionnellement aux étoiles. Un repository avec 10 000 étoiles et 50 forks est suspect.
  • Pic de croissance brutal sans événement identifiable — Une montée de 5 000 étoiles en 48 heures sans annonce HN, Product Hunt, ou article viral est un signal fort.
  • Profils des stargazers — Examinez une centaine de profils aléatoires parmi les stargazers. Zéro follower, zéro contribution, compte créé récemment en masse = campagne de bots.
  • Ratio watchers/étoiles — Les watchers représentent les personnes vraiment intéressées par les mises à jour. Un faible ratio watchers/étoiles indique que les étoiles ne reflètent pas un intérêt réel.
  • Activité des issues et PRs — Un projet réellement utilisé génère des issues avec des questions techniques, des PRs avec des corrections. Un repository silencieux avec 10 000 étoiles est un signal d'alarme.

Ce que GitHub fait (et ne fait pas) contre ce problème

L'étude CMU montre que 90 % des repositories flégués ont finalement été supprimés par GitHub — un taux de détection correct. Le problème est que 57 % des comptes bot associés restent actifs après la suppression du repository. La main d'œuvre de l'économie des fausses étoiles est préservée pour la prochaine campagne. GitHub n'a pas encore implémenté de métriques de popularité pondérées, pas de scoring de réputation des comptes, et pas de reporting de transparence sur l'application de ses politiques. La responsabilité de la vérification reste du côté des développeurs et des équipes qui évaluent les projets.

Travailler avec nous

Vous avez une histoire à raconter ?

Proposez un article ou devenez partenaire de Neuralll.

Proposer un articleDevenir sponsor