Depuis plusieurs semaines, une vague de découvertes de failles inquiétantes frappe le noyau Linux, le système d’exploitation qui fait tourner l’essentiel des serveurs et des infrastructures cloud de la planète.
La plus remarquable d’entre elles, baptisée Copy Fail, est une vulnérabilité enfouie depuis 2017 dans le noyau Linux, qui permettait de prendre le contrôle total d’un système.
Ce record de longévité est battu avec CIFSwitch, qui s’ajoute donc à cette longue liste. Divulguée le 27 mai 2026 par le chercheur Asim Manizada, ingénieur en sécurité chez SpaceX, la faille dormait dans le code du noyau Linux depuis 2007, soit 19 ans.
Comment CIFSwitch fonctionne
Pour comprendre CIFSwitch, il faut d’abord savoir ce qu’est CIFS. Ce protocole réseau permet à une machine Linux de se connecter à des dossiers partagés sur le réseau, typiquement des serveurs de fichiers Windows dans une entreprise. C’est une fonctionnalité très courante dans les environnements professionnels.
Quand ce partage réseau utilise Kerberos pour s’authentifier (un système de tickets d’accès standard en entreprise), le noyau Linux ne gère pas lui-même cette authentification. Il délègue la tâche à un petit programme externe nommé cifs.upcall qui s’exécute avec les droits root pour pouvoir accomplir ses opérations.
Le problème : le noyau ne vérifiait pas que la demande d’authentification venait bien de son propre sous-système. N’importe quel processus sur la machine pouvait donc envoyer une fausse demande du même type, avec des paramètres entièrement contrôlés par l’attaquant.
À partir de là, la chaîne d’exploitation est redoutablement efficace. L’attaquant force le programme à basculer dans un espace de noms qu’il contrôle, il peut alors implanter à l’avance un faux module système malveillant, chargé et exécuté avec les droits root. Ainsi, sur une machine vulnérable, n’importe quel utilisateur local peut modifier les configurations et devenir root en une seule commande.
Qui est concerné par CIFSwitch ?
Bonne nouvelle, CIFSwitch n’est pas universelle : elle requiert une version vulnérable du noyau et certaines configurations système spécifiques. Asim Manizada souligne néanmoins que plusieurs distributions sont vulnérables par défaut : Linux Mint, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux ou SLES 15 SP7.
Mais ce qui rend CIFSwitch particulièrement notable, c’est la méthode de découverte. Asim Manizada explique avoir utilisé une approche assistée par IA pour identifier la faille : plutôt que d’auditer le code manuellement, il a laissé un modèle cartographier les relations entre composants du noyau pour repérer les enchaînements de petites failles logiques qui, mises bout à bout, deviennent exploitables.
Une méthode qui, à mesure qu’elle se répand dans la communauté de la recherche en sécurité, explique en partie pourquoi la série de failles critiques dans Linux ne semble pas près de s’arrêter. À noter qu’aucun identifiant CVE n’avait été assigné à CIFSwitch au moment de sa divulgation publique, une attribution est en cours.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !