🗓️ Contexte

Article de blog publié le 1er mai 2026 par un ancien employé du gouvernement britannique (GDS, NHSX, i.AI), relatant une décision interne de NHS England de fermer la majorité de ses dépôts de code open source publics.

📋 Faits rapportés

Un responsable technique senior de NHS England aurait déclaré que l’organisation allait cesser de publier son code en open source et supprimer la plupart de ses dépôts GitHub, en invoquant le risque posé par Mythos, un outil d’IA décrit comme plus sophistiqué dans la détection de vulnérabilités.

Le 29 avril 2026, une note de guidance interne intitulée SDLC-8 a été diffusée, formalisant ce changement de politique.

⚠️ Points de tension identifiés

  • Cette décision contredit directement plusieurs politiques officielles britanniques :
    • Tech Code of Practice – point 3 : « Be open and use open source »
    • Service Standard du gouvernement UK
    • Politique DHSC « Data saves lives » (Commitment 601, mai 2022)
    • Software Engineering Quality Framework de NHS Digital
  • Ni l’AI Safety Institute ni le NCSC ne recommandent cette action selon l’auteur.
  • L’auteur souligne que le code NHS a déjà été indexé et que la fermeture des dépôts n’empêcherait pas un acteur malveillant d’en disposer.
  • Les outils d’IA comme Mythos sont également efficaces contre les logiciels closed-source (analyse de binaires, sondage de sites web).

🔍 Actions en cours

  • L’auteur a soumis une demande Freedom of Information (FOI) à NHS England.
  • Une sauvegarde de l’ensemble des dépôts NHS a été réalisée et peut être republiée conformément aux licences open source.
  • Des relais médiatiques sont mentionnés : The New Scientist, Free Software Foundation Europe, une pétition publique.

📌 Nature de l’article

Article d’opinion et d’alerte publique rédigé par un ancien praticien du gouvernement britannique, visant à documenter et dénoncer une décision de politique interne du NHS jugée contraire aux engagements open source officiels du Royaume-Uni.

🧠 TTPs et IOCs détectés

TTP

  • T1596.003 — Search Open Websites/Domains: Code Repositories (Reconnaissance)

Malware / Outils

  • Mythos (tool)

🔴 Indice de vérification factuelle : 33/100 (basse)

  • ⬜ shkspr.mobi — source non référencée (0pts)
  • ✅ 5395 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 1 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://shkspr.mobi/blog/2026/05/nhs-goes-to-war-against-open-source/