Des signalements affirment que des entreprises de YC collectent l’activité GitHub pour envoyer des e-mails de spam aux utilisateurs

 (news.ycombinator.com)
2 points par GN⁺ 2026-02-27 | 1 commentaires | Partager sur WhatsApp
  • Des cas ont été signalés où certaines entreprises soutenues par Y Combinator (ci-après YC) ont collecté automatiquement les données d’activité des utilisateurs GitHub pour envoyer des e-mails marketing
  • L’auteur du signalement souligne le problème de la réception d’e-mails non sollicités, fondés sur les commits et l’activité des dépôts du profil GitHub
  • Il est indiqué que ces e-mails ont été envoyés dans le but de promouvoir un produit ou d’inciter à l’inscription à un service
  • Dans la communauté, des critiques ont émergé au sujet de la protection de la vie privée et des pratiques de marketing éthiques
  • Cela relance le débat, dans l’écosystème des startups, sur la frontière entre l’usage des données et le consentement des utilisateurs

Collecte des données d’activité GitHub et envoi d’e-mails

  • Des cas ont été rapportés où certaines startups liées à YC ont scrapé les données d’activité publique des utilisateurs GitHub afin d’obtenir des adresses e-mail
    • L’auteur explique qu’il a reçu un e-mail promotionnel d’une certaine entreprise YC après son activité sur GitHub
    • Le contenu de l’e-mail était principalement centré sur la présentation du produit et l’incitation à son utilisation
  • Cette pratique est pointée du doigt parce qu’elle constitue un usage de données collectées sans le consentement des utilisateurs

Réaction de la communauté et débat éthique

  • Les utilisateurs de Hacker News ont réagi de manière critique, considérant l’envoi d’e-mails sans consentement comme du spam
    • Certains affirment que même si les données sont publiques, leur collecte automatisée à des fins marketing est inappropriée
  • Le débat s’est élargi à la question de l’équilibre entre les stratégies de croissance des startups et la protection de la vie privée
    • Le fait qu’il s’agisse d’entreprises YC a notamment conduit certains à estimer que les attentes en matière de standards éthiques y sont plus élevées

Usage des données et question du consentement

  • Les données publiques de GitHub sont accessibles, mais l’idée qu’un consentement explicite est nécessaire en cas d’usage commercial est mise en avant
  • La communauté souligne la nécessité de politiques transparentes d’utilisation des données afin de préserver la confiance dans l’écosystème des développeurs
  • Cette affaire est perçue comme un signal d’alarme concernant les pratiques d’automatisation marketing des startups

À lire aussi

1 commentaires

 
GN⁺ 2026-02-27
Commentaires Hacker News

  • Martin de GitHub ici. Ce type de scraping de données viole clairement les conditions d’utilisation de GitHub
    Quand on le détecte, on prend des mesures comme la suspension de comptes. Mais c’est un problème récurrent, un vrai jeu de taupe
    Vu la structure de Git, il n’est pas techniquement difficile d’extraire des données depuis des dépôts open source. Les commits contiennent en effet un nom et une adresse e-mail
    Nous proposons la fonctionnalité d’adresse no-reply pour que les utilisateurs puissent utiliser une adresse e-mail anonyme lors des commits
    La méthode de configuration détaillée est expliquée dans la documentation officielle
    Trouver l’équilibre entre préserver l’ouverture de l’open source et bloquer le spam est difficile. Il existe aussi des limites d’API, mais elles suscitent beaucoup de plaintes. J’aimerais avoir l’avis de la communauté

    • D’après mon expérience, GitHub ne bloque pas réellement ces comptes
      J’ai signalé un spammeur en juillet 2025, mais je n’ai reçu aucune réponse, et le compte est toujours actif
      Si j’ai rendu mon e-mail public, c’était parce que je m’attendais à ce que les règles soient appliquées. Si GitHub laisse les spammeurs tranquilles, il devient difficile de garder des coordonnées publiques
    • J’ai moi aussi signalé plus de cinq fois le même scénario de spam, sans qu’aucune mesure ne soit prise
      J’ai résumé sur mon blog des cas où des entreprises YC m’ont envoyé du spam sur mon e-mail GitHub
    • Je n’ai pas de proposition concrète, mais j’apprécierais une fonctionnalité qui bloque les pushs si le champ e-mail n’est pas une adresse anonyme
      La plupart des utilisateurs ne font pas attention à leur vie privée, donc ce genre de protection serait utile
    • Je reçois énormément de spam de gens qui regardent les dépôts auxquels j’ai mis une étoile pour me contacter en disant qu’ils font “quelque chose de similaire”
      Du coup, maintenant je ne mets plus d’étoile à aucun dépôt
    • Je sais que c’est une violation des règles, mais même après avoir signalé plusieurs organisations, les tickets sont fermés avec la réponse “activité hors plateforme, aucune action possible”

  • J’ai reçu le même e-mail moi aussi
    C’était un message de l’équipe RunanywhereAI qui présentait un SDK de LLM on-device
    En discutant avec l’équipe, j’ai constaté qu’ils prenaient les retours au sérieux et amélioraient rapidement leur SDK Flutter
    Ils ont même ajouté une implémentation RAG en une semaine seulement. Au lieu de les critiquer publiquement, ça vaut peut-être le coup d’essayer directement

  • Je sais que YC a investi dans Flock, mais je me demande ce que recouvre exactement le “problème éthique de YC”

    • Ça me fait aussi penser à la démo du logiciel de surveillance d’Optifye.ai
    • Il y a aussi Cluely
    • Et Gecko Security

  • Je fais du marketing auprès des développeurs depuis longtemps, et envoyer du spam sur des adresses GitHub est l’un des pires moyens de faire du marketing
    Les cold e-mails adressés aux développeurs ne marchent presque jamais et abîment la confiance dans la marque

    • En revanche, si quelqu’un regardait mes contributions GitHub et m’envoyait une proposition personnalisée pertinente, je l’examinerais probablement positivement
      C’est complètement différent d’un simple spam automatisé
    • Je pense pareil. Si quelqu’un me contactait directement après avoir regardé mon travail, j’y verrais plutôt une marque d’intérêt et d’effort

  • Si YC demande dans son dossier de candidature si vous avez déjà “hacké le système” pour en tirer profit, ce n’est pas pour rien
    C’est parce qu’ils préfèrent des fondateurs capables d’exploiter des zones grises juridiques
    Airbnb s’est développé en enfreignant les règles de Craigslist, Reddit a pillé le contenu de Digg, et OpenAI a entraîné ses modèles sur des contenus protégés par le droit d’auteur

  • Moi aussi, j’ai reçu un e-mail de spam non sollicité de Vincent Jiang chez Aden, une société YC
    Il m’invitait à rejoindre une communauté de développement d’agents IA

    • J’ai aussi reçu plusieurs fois un e-mail similaire de Backdrop
      J’avais classé le premier comme spam, mais j’en ai reçu un autre disant “dernier rappel”
      Je n’utiliserai jamais ce genre d’entreprise
    • Quelqu’un a dit avoir reçu du même expéditeur une proposition pour faire des PR open source à 25 à 50 dollars de l’heure
      Après avoir répondu, il n’a reçu qu’une réponse automatique

  • Aujourd’hui encore, j’ai reçu du spam sur mon adresse GitHub de Cactus Compute, une société liée à YC
    Le message présentait un moteur de modèle vocal on-device et incluait un lien vers le dépôt GitHub cactus-compute/cactus

    • Au moins, ils n’ont pas demandé d’étoile. Ils ont l’air d’aller assez vite en développement
    • La formule “merci de mettre une étoile” m’a fait penser à un e-mail d’arnaque 419

  • Ce sujet a déjà été discuté à de nombreuses reprises par le passé
    Il y a eu les mêmes discussions il y a 11 ans, il y a 7 ans, il y a 5 ans et il y a 4 ans
    C’est un problème chronique qui revient sans cesse

  • En lisant ce fil, j’ai moi aussi reçu un spam d’un scraper GitHub
    L’expéditeur était james@techglobal.website, et le message se faisait passer pour une proposition de collaboration entre ingénieurs basés aux États-Unis
    D’après mon expérience, ce genre de message a de fortes chances d’être une tentative d’arnaque nord-coréenne

    • J’ai reçu presque le même e-mail du même expéditeur. Seuls l’objet et la signature changeaient légèrement
    • Pourquoi penses-tu à la Corée du Nord ? Parce qu’il s’agit d’une structure de façade avec une équipe anonyme qui se sert d’Américains comme couverture ?

  • À noter que ce genre d’e-mails publicitaires non autorisés est illégal en Europe
    L’excuse du “je ne savais pas” ne tient pas, car la localisation est souvent indiquée dans les profils GitHub
    Une startup qui commence dans l’illégalité part déjà avec un déficit de crédibilité