Dépenser 200 dollars pour acheter des Stars, escroquer des dizaines de millions de dollars aux VC : Toute la chaîne industrielle des fausses Stars GitHub exposée

marsbitPublié le 2026-04-21Dernière mise à jour le 2026-04-21

Résumé

Selon une enquête de l'université Carnegie Mellon, GitHub compte environ 6 millions de "fausses stars" générées par un marché noir bien organisé. Des projets d'IA et de blockchain sont particulièrement touchés. Les étoiles s'achètent à partir de 0,03$ pièce, permettant à des startups d'atteindre le seuil médian des tours de financement (2 850 étoiles pour un seed) pour moins de 200$. Des VC utilisent ces métriques pour filtrer les projets, créant un cercle vicieux où la fraude paye. Bien qu'interdite par GitHub, cette pratique prospère car la plateforme supprime surtout les dépôts frauduleux, mais rarement les comptes responsables.

Auteur : Claude, Deep Tide TechFlow

Introduction de Deep Tide : Une étude par les pairs de l'Université Carnegie Mellon (CMU) a révélé l'existence d'environ 6 millions de fausses Stars sur GitHub, impliquant 18 600 dépôts et 301 000 comptes. Les projets d'IA/LLM constituent la plus grande catégorie non malveillante d'achat de Stars. Sur le marché, le prix d'une Star peut descendre jusqu'à 0,03 dollar, et les données de Redpoint montrent que le nombre médian de Stars pour un projet en phase seed est de 2 850 — il suffit de dépenser moins de 200 dollars pour « acheter » une popularité factice répondant aux critères d'un tour de financement seed.

Le Star GitHub (like) est en train de devenir une arnaque soigneusement emballée.

Selon un rapport d'enquête publié le 13 avril par Awesome Agents, une chaîne industrielle grise mature autour des Stars GitHub fonctionne déjà au grand jour : un article académique a quantifié l'ampleur du problème, une dizaine de sites web vendent ouvertement des Stars, et les sociétés de capital-risque intègrent directement le nombre de Stars dans leur processus de sélection des projets.

L'équipe d'enquête a procédé à une vérification indépendante sur 20 dépôts et a découvert que pour certains projets, 36 % à 76 % des Stars provenaient de comptes sans abonnés, et le ratio fork/star était inférieur à un dixième du niveau de base des projets organiques.

Le soutien académique central de ce rapport provient d'un article évalué par les pairs, co-écrit par la CMU, l'Université d'État de Caroline du Nord et Socket, et publié à l'ICSE 2026 (Conférence internationale sur l'ingénierie logicielle). L'outil de détection StarScout, développé par l'équipe de recherche, a analysé 20 To de métadonnées GitHub (6,7 milliards d'événements, 326 millions de Stars, couvrant la période de 2019 à 2024), marquant finalement environ 6 millions de Stars suspectes, 18 600 dépôts impliqués et environ 301 000 comptes participants.

6 millions de fausses Stars : Croissance explosive en 2024, les projets d'IA lourdement touchés

Les fausses Stars ne sont pas un phénomène nouveau, mais leur ampleur a connu une croissance explosive en 2024. Les données de l'article de la CMU montrent qu'avant 2022, moins de 10 dépôts par mois étaient impliqués dans des activités de fausses Stars. Au pic de juillet 2024, ce nombre est monté en flèche à 3 216 dépôts et 30 779 comptes participants. Jusqu'en juillet 2024, 16,66 % des dépôts ayant plus de 50 Stars avaient participé à des activités de fausses Stars.

La précision de détection de l'équipe de recherche a été indirectement validée par le comportement de GitHub lui-même : 90,42 % des dépôts marqués par StarScout avaient été supprimés, et 57,07 % des comptes marqués avaient été nettoyés.

Parmi les utilisations des fausses Stars, la majorité sert à promouvoir des dépôts de logiciels malveillants de phishing éphémères. Mais dans la catégorie non malveillante, les projets liés à l'IA et aux LLM arrivent en tête, avec un total de 177 000 fausses Stars, dépassant les projets de blockchain/crypto-monnaies. L'article note que « beaucoup de ces projets sont des dépôts d'articles académiques ou des produits de startups liées aux LLM ». Plus crucial encore, 78 dépôts détectés avec des activités de fausses Stars sont apparus sur la page GitHub Trending, prouvant que l'achat de Stars peut effectivement manipuler l'algorithme de recommandation de la plateforme.

Une Star à partir de 3 cents : Un marché d'achat de Stars opérant ouvertement

Il ne s'agit pas de transactions sur le dark web. L'enquête a confirmé qu'au moins une dizaine de sites web vendent ouvertement des GitHub Stars, notamment SocialPlug.io, Buy.fans, Boost-Like.store, etc. Sur Fiverr, on trouve 24 services actifs d'achat de Stars, allant de forfaits de base à 5 dollars à des packs de « promotion organique » à 25 dollars et plus.

La tarification comporte trois niveaux : économique (nouveaux comptes jetables) de 0,03 à 0,10 dollar par Star, moyen de 0,20 à 0,50 dollar, et premium (comptes vieux de plusieurs années) de 0,80 à 0,90 dollar. Les services premium promettent « pas de perte de Stars » et une garantie de recomplétion sous 30 jours. SocialPlug affirme avoir livré 3,1 millions de Stars cumulées, servi plus de 53 000 clients, et propose même une API pour un approvisionnement par lots programmatique.

Les plateformes d'échange de Stars comme GithubStarMate.com et SafeStarExchange.com utilisent quant à elles un système de points pour un échange mutuel, permettant aux utilisateurs d'obtenir des Stars sans dépenser d'argent. Sur GitHub, il existe également au moins 7 outils open source (comme fake-git-history, commit-bot, etc.) spécialement conçus pour falsifier l'historique des contributions. Des comptes GitHub préfabriqués avec 5 ans d'historique de commits et le badge de contributeur Arctic Code Vault se vendent environ 5 000 dollars sur Telegram.

Une étude de l'Université Tsinghua de 2020 a documenté le fonctionnement des groupes de promotion sur QQ et WeChat en Chine : des groupes de plus de 1 020 membres traitent environ 20 tâches de dépôts par jour pour l'achat de Stars, estimant un profit annuel de l'industrie entre 3,4 et 4,4 millions de dollars.

Les VC utilisent les Stars pour filtrer les projets, 200 dollars suffisent pour « atteindre » le seuil du seed

La relation entre les Stars et le financement n'est pas une spéculation, mais est publiquement reconnue par les sociétés de capital-risque elles-mêmes.

Jordan Segall, associé chez Redpoint Ventures, après avoir analysé 80 entreprises d'outils pour développeurs, a constaté que le nombre médian de GitHub Stars lors d'un tour de financement seed était de 2 850, et de 4 980 lors d'un tour Série A. Il a clairement indiqué : « Beaucoup de VC编写 (rédigent) des crawlers internes pour trouver des projets GitHub avec une croissance rapide des Stars, les Stars sont la métrique qu'ils surveillent le plus souvent. »

Ces chiffres donnent aux startups une liste de courses précise. En utilisant le calcul des Stars bon marché, il suffit de dépenser 85 à 285 dollars pour fabriquer 2 850 Stars et atteindre la médiane du seed ; dépenser 990 à 4 500 dollars permet d'atteindre le seuil de la Série A. Comparé à l'enveloppe typique d'un tour seed de 1 à 10 millions de dollars, le ratio rendement/investissement se situe entre 3 500 et 117 000.

L'indice ROSS (classement des startups open source) publié trimestriellement par Runa Capital amplifie encore cette incitation. Selon TechCrunch, 68 % des entreprises classées dans l'indice ROSS ont obtenu un investissement en phase seed, le total des financements suivis s'élevant à 169 millions de dollars. L'analyse indépendante de l'enquête a révélé que Union Labs, classé premier de l'indice ROSS au Q2 2025 (croissance des Stars de 54,2 fois, total de 74 300 Stars), présentait de sérieux soupçons d'achat de Stars : 32,7 % des Stars provenaient de comptes sans dépôt, 52 % de comptes sans abonnés, et StarScout a marqué 47,4 % de ses Stars comme suspectes. Un classement sectorial largement cité par les VC, et le projet en tête a près de la moitié de ses Stars suspectées d'être fausses.

Des cas concrets viennent étayer la chaîne de conversion des Stars vers le financement : Lovable (anciennement GPT Engineer) a obtenu 7,5 millions de dollars en pre-seed avec 50 000+ Stars, une valorisation de 1,8 milliard de dollars en Série A ; Browser-use a obtenu 17 millions de dollars en seed après avoir atteint 50 000 Stars en trois mois ; Pangolin est entré à Y Combinator avec 1 000 Stars et a bouclé un tour de financement seed de 4,7 millions de dollars en huit mois.

Asymétrie de l'application chez GitHub : Suppression des dépôts mais conservation des comptes

La politique d'utilisation acceptable de GitHub interdit explicitement les « interactions fausses », la « manipulation du classement » et la création d'un marché secondaire pour les fausses Stars, interdisant même spécifiquement l'achat de Stars incité par des « airdrops de crypto-monnaies ».

Mais l'application est passive et asymétrique. GitHub a supprimé 90,42 % des dépôts marqués par StarScout, mais n'a nettoyé que 57,07 % des comptes exécutants. La « main-d'œuvre » de l'industrie des fausses Stars est largement intacte. Après la publication du rapport d'enquête de Dagster en 2023, les comptes de fausses Stars concernés ont été supprimés sous 48 heures — mais c'était une réaction suite à une exposition publique, et non le résultat d'une détection proactive.

L'équipe de recherche de la CMU a recommandé à GitHub d'adopter une métrique de popularité pondérée basée sur la centralité du réseau pour remplacer le simple décompte de Stars, anéantissant structurellement l'économie des fausses Stars. GitHub ne l'a pas encore mis en œuvre.

Cela forme une boucle auto-renforçante : Les VC utilisent les Stars comme signal de filtrage → Les startups achètent des Stars → Les VC voient une popularité factice → Plus de VC adoptent le suivi des Stars → Plus de startups achètent des Stars. Les chiffres de référence publiés par Redpoint (2 850 pour le seed, 4 980 pour la Série A) équivalent à donner aux startups une liste de courses tarifée.

Comme l'a dit un commentateur dans le rapport d'enquête : « Le nombre de Stars peut être falsifié, mais une correction de bug qui fait gagner un week-end à quelqu'un ne peut pas l'être. »

Questions liées

QCombien d'étoiles (Stars) factices ont été identifiées sur GitHub selon l'étude de l'université Carnegie Mellon ?

AEnviron 6 millions d'étoiles factices ont été identifiées, impliquant 1,86 million de dépôts et 301 000 comptes.

QQuelle est la catégorie de projets la plus touchée par les étoiles factices à des fins non malveillantes ?

ALes projets d'IA et de LLM (Large Language Models) sont la catégorie la plus touchée, avec 177 000 étoiles factices, dépassant même les projets de blockchain et de cryptomonnaies.

QQuel est le prix le plus bas pour l'achat d'une étoile GitHub factice sur le marché ?

ALe prix le plus bas pour une étoile factice est de 0,03 dollar, proposé dans le segment le moins cher utilisant des comptes nouveaux et jetables.

QCombien coûterait approximativement à une startup pour atteindre le nombre médian d'étoiles requis pour un tour de financement de type seed ?

AIl coûterait entre 85 et 285 dollars pour acheter environ 2 850 étoiles, ce qui correspond au nombre médian observé pour les tours de financement seed.

QComment GitHub a-t-il réagi face aux comptes et dépôts impliqués dans les étoiles factices selon l'étude ?

AGitHub a supprimé 90,42 % des dépôts signalés, mais seulement 57,07 % des comptes utilisés pour générer ces étoiles factices ont été nettoyés, montrant une application asymétrique des règles.

Lectures associées

Une Poignée de Terre Chinoise Met Fin à Deux Géants Japonais

Deux géants japonais, leaders mondiaux dans la production d'hexafluorure de tungstène, un gaz électronique spécialisé essentiel à la fabrication des puces IA, ont annoncé l'arrêt définitif de leur production. La cause : la coupure soudaine de leur approvisionnement en poudre de tungstène de haute pureté (qualité 6N), un matériau presque exclusivement produit en Chine. Après des décennies à dépendre d'importations chinoises stables et peu coûteuses, les entreprises japonaises se retrouvent brutalement privées de cette matière première cruciale à partir de début 2026. Les tentatives pour trouver des fournisseurs alternatifs se heurtent à des prix trois fois plus élevés et une pureté insuffisante. Les réserves s'épuisent. La clé du problème réside dans l'extrême difficulté à purifier la poudre de tungstène, notamment pour séparer le molybdène, une impureté tenace. Des entreprises chinoises comme Xiamen Tungsten ont mis des décennies de recherche acharnée à maîtriser ce procédé, atteignant désormais le niveau de pureté le plus élevé au monde. Face à cette pénurie et à l'incertitude permanente, les fabricants japonais ont décidé de cesser définitivement leur production à partir du 1er juillet. Les géants coréens de la mémoire comme Samsung, dépendants de ces fournisseurs, se tournent désormais en urgence vers les producteurs chinois d'hexafluorure de tungstène. Le contrôle de la chaîne d'approvisionnement des semi-conducteurs connaît un basculement, la maîtrise de la matière première fondamentale s'étant avérée décisive.

marsbitIl y a 21 mins

Une Poignée de Terre Chinoise Met Fin à Deux Géants Japonais

marsbitIl y a 21 mins

De l'identité protocolaire au portail de l'IA, quelle est l'ampleur des ambitions de World ?

World (WLD) suscite une forte attention suite à l'annonce de son passage à l'étape 3 de son plan, marquant une évolution de la simple distribution de tokens vers une logique d'utilité. L'objectif central du projet est de créer un réseau mondial de "preuve de personnalité" (World ID) via un scan de l'iris, afin de différencier les humains des bots ou des agents IA dans l'espace numérique. Cette vision prend tout son sens avec l'explosion de l'IA générative, qui rend la vérification d'identité humaine de plus en plus cruciale. World déploie désormais sa technologie sur trois fronts : les entreprises (pour lutter contre la fraude), les particuliers (pour des services comme la billetterie) et, surtout, les agents IA. Son AgentKit vise à établir un cadre de confiance pour les autorisations entre humains et IA. La hausse de WLD reflète une réévaluation par le marché de la rareté et de la valeur d'une "identité humaine vérifiée" à l'ère de l'IA. World affine sa stratégie en se concentrant sur des marchés clés et en développant un Orb de nouvelle génération plus autonome, visant une viabilité commerciale. En introduisant des frais pour les utilisateurs professionnels du protocole, le projet commence à construire un modèle économique. À plus long terme, World ambitionne de devenir une infrastructure fondamentale et un point d'entrée pour l'économie des agents IA, en positionnant l'identité comme un actif composable au cœur de l'internet de demain.

marsbitIl y a 47 mins

De l'identité protocolaire au portail de l'IA, quelle est l'ampleur des ambitions de World ?

marsbitIl y a 47 mins

Sans Tencent, que reste-t-il à Enflame AI ?

La société chinoise de puces IA Tianshu Zhixin (燧原科技), surnommée l’un des « Quatre Dragons » du GPU domestique, a finalement obtenu l’approbation pour son introduction en bourse sur le marché STAR, après ses concurrents Moore Thread, Biren Technology et MetaX. Ce qui distingue particulièrement Tianshu Zhixin, c’est sa dépendance extrêmement élevée à l’égard de Tencent, son principal actionnaire et client. En 2025, 74,9 % de ses revenus, voire plus de 80 % selon une autre méthode de calcul, provenaient de Tencent. Cette concentration reflète une stratégie industrielle délibérée : plutôt que de se concentrer d’abord sur le récit et la valorisation, Tianshu Zhixin s’est ancrée dès le départ sur la livraison à un grand client. Ses revenus ont connu une croissance exponentielle, passant de 3 milliards de yuans en 2023 à 9,9 milliards en 2025, avec une projection de plus de 10,6 milliards pour le seul premier semestre 2026. Cette relation symbiotique dépasse la simple transaction. Face à une demande de calcul explosée pour ses modèles d’IA (comme Hunyuan) et à la nécessité d’une chaîne d’approvisionnement sécurisée, Tencent utilise des commandes massives et stables pour permettre à Tianshu Zhixin d’atteindre une échelle de production, d’itérer ses processus et de rattraper son retard technologique. En retour, Tianshu Zhixin devient la base de calcul de l’écosystème Tencent, une substitution qui serait aujourd’hui coûteuse et complexe en raison de l’intégration logicielle et matérielle. Le secteur des puces IA chinoises évolue vers une stratification : NVIDIA en tant que norme mondiale, Huawei Ascend en tant qu’acteur étatique, et les sociétés commerciales comme Tianshu Zhixin qui survivent par les commandes du marché. Tianshu Zhixin semble se positionner comme le fournisseur attitré de Tencent, à l’instar des puces maison des géants du cloud mondiaux. Son introduction en bourse, soutenue par des capitaux publics et industriels, marque un tournant pour l’industrie : la phase du financement par promesses cède la place à une ère impitoyable axée sur les commandes, la capacité de livraison et la profondeur de l’intégration dans la chaîne d’approvisionnement des super-clients. L’histoire montre que la course technologique ne se gagne pas seulement en concevant une puce performante, mais en trouvant un client prêt à l’acheter continuellement. C’est peut-être là le seul long-termisme qui compte.

marsbitIl y a 1 h

Sans Tencent, que reste-t-il à Enflame AI ?

marsbitIl y a 1 h

BTC Pulsations de Marché : Semaine 25

Le marché du Bitcoin connaît un rebond de soulagement timide après des conditions de survente extrême, mais les indicateurs structurels pointent vers une stabilisation plutôt qu'un renversement de tendance. La semaine a été marquée par un net changement d'agressivité des preneurs, avec le CVD Perpétuel passant de -770 M$ à +182 M$ et le CVD Spot se rapprochant de l'équilibre. Le RSI a bondi de 94,8% mais reste à 29,1, indiquant une faiblesse persistante. Cette reprise est fragile. Les volumes Spot ont chuté de 40,4% à 5,8 milliards de dollars et l'Open Interest des Futures a baissé de 3%, signe que le rebond est davantage dû à des rachats de positions courtes qu'à une nouvelle conviction haussière. La peur recule cependant : l'écart de volatilité s'est contracté de 85%, les sorties nettes des ETF se sont réduites à -465 M$, et le ratio MVRV des ETF est remonté à 1,06. Les fondamentaux on-chain confirment un marché plus calme. L'activité des adresses et le volume des transferts ajustés ont significativement baissé. La Réalized Cap Change est négative à -1,3%, montrant une sortie continue de capitaux. Un point positif est la composition de l'offre : la part des capitaux "chauds" et le ratio détenteurs courts/longs ont chuté sous leurs bornes inférieures, suggérant que la vente des détenteurs récents est largement terminée. Si l'intensité de la capitulation diminue et que le comportement des preneurs s'améliore, l'absence de volume, l'empreinte déclinante des produits dérivés et les sorties de capitaux persistent. Le marché construit donc une base de consolidation, mais une reprise durable nécessitera un retour de la conviction et un réengagement institutionnel, des catalyseurs encore absents.

insights.glassnodeIl y a 1 h

BTC Pulsations de Marché : Semaine 25

insights.glassnodeIl y a 1 h

Liquidations post-guerre | TradeXYZ - Revue du week-end

Les marchés ont connu un net retour de l'appétit pour le risque ce week-end, avec des indices boursiers en forte hausse, notamment dans la technologie et les métaux précieux, tandis que le secteur de l'énergie subissait des pertes significatives. Ce mouvement est directement lié à la perspective d'une fin de conflit au Moyen-Orient. Le point décisif est survenu le 14 juin lorsque le président Trump a annoncé sur Truth Terminal un accord conclu avec l'Iran, autorisant la levée immédiate du blocus maritime américain et l'ouverture gratuite du détroit d'Ormez. L'Iran a simultanément annoncé un arrêt permanent des actions militaires sur plusieurs fronts. Le prix du pétrole avait déjà anticipé cette nouvelle, chutant avant l'annonce officielle. L'indice S&P 500 a ensuite atteint 7530 points. Les métaux précieux, or et argent, ont connu des bonds importants au moment de l'annonce, avant de se stabiliser à des niveaux élevés. Certaines actions individuelles et ETF ont également performé, comme NBIS (intégré au Nasdaq, forte croissance du cloud AI), RKLB (intégré au Nasdaq, bénéficiant de l'optimisme autour de SpaceX) et l'ETF SPCX, stimulé par un commentaire d'Elon Musk sur les revenus futurs de SpaceX. Bien que l'accord de paix doive être formellement signé le 19 juin, marquant la résorption de l'impact du conflit sur les marchés, la période d'attente reste soumise à des incertitudes, notamment concernant la position d'Israël. D'autres événements, comme la première intervention du président de la Fed, Warsh, et les anticipations de hausse de taux de la Banque du Japon, influenceront également les marchés cette semaine.

marsbitIl y a 1 h

Liquidations post-guerre | TradeXYZ - Revue du week-end

marsbitIl y a 1 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow