Des chercheurs en sécurité ont publié un exploit détaillé et fonctionnel pour une faille de type « use-after-free » du noyau Linux qui permet à un utilisateur local non privilégié d’élever ses privilèges au niveau root et de s’échapper d’un conteneur. La faille, CVE-2026-23111, se trouve dans le code de filtrage de paquets nf_tables du noyau et a été corrigée en amont le 5 février 2026.
Le noyau Linux est un noyau de type Unix libre et open source utilisé dans de nombreux systèmes informatiques à travers le monde. Le noyau a été créé par Linus Torvalds en 1991 et a rapidement été adopté comme noyau du système d’exploitation (SE) GNU, conçu pour remplacer librement Unix. Depuis la fin des années 1990, il est intégré à de nombreuses distributions de systèmes d’exploitation, dont beaucoup portent le nom de Linux. Android, utilisé dans de nombreux appareils mobiles et embarqués, est l’un de ces systèmes d’exploitation basés sur le noyau Linux.
La majeure partie du code du noyau est écrite en C tel qu’il est pris en charge par la GNU Compiler Collection (GCC), qui comporte des extensions allant au-delà du C standard. Le code contient également du code assembleur pour la logique spécifique à l’architecture, telle que l’optimisation de l’utilisation de la mémoire et l’exécution des tâches. Le noyau présente une conception modulaire permettant d’intégrer des modules en tant que composants logiciels, y compris ceux chargés dynamiquement. Le noyau est monolithique d’un point de vue architectural, puisque l’ensemble du noyau du système d’exploitation s’exécute dans l’espace noyau.
Récemment, des chercheurs en sécurité ont publié un exploit détaillé et fonctionnel pour une faille de type « use-after-free » du noyau Linux qui permet à un utilisateur local non privilégié d’élever ses privilèges au niveau root et de s’échapper d’un conteneur. La faille, CVE-2026-23111, se trouve dans le code de filtrage de paquets nf_tables du noyau et a été corrigée en amont le 5 février 2026. Exodus Intelligence a publié son guide technique complet le 8 juin, et ce n’est même pas le premier exploit rendu public : FuzzingLabs avait déjà publié une reproduction indépendante en avril.
La faille se résumait à un seul caractère erroné, une vérification inversée dans nf_tables, et le correctif en amont l’a supprimé en une seule ligne. Ubuntu attribue à cette faille un score CVSS de 7,8 (élevé). Si le paquet du noyau de votre distribution n’inclut pas encore le correctif, mettez-le à jour et redémarrez.
La configuration concernée est courante : nf_tables associé à des espaces de noms d’utilisateurs sans privilèges, une fonctionnalité Linux qui permet à un compte ordinaire d’agir en tant que root à l’intérieur d’un bac à sable privé et d’accéder au code du noyau auquel il n’aurait pas accès autrement. Ces deux éléments sont fournis par défaut sur la plupart des ordinateurs de bureau et de nombreuses configurations de serveurs. Il n’existe pas de vecteur d’exploitation à distance en soi. Il s’agit d’un bug qu’un attaquant exploite après s’être implanté, transformant un shell à privilèges limités, un conteneur compromis ou un compte de service en root sur l’hôte.
Oliver Sieber, chercheur chez Exodus, qui a découvert le bug début 2025, l’a enchaîné pour obtenir un accès root local complet. L’exploit déclenche le « use-after-free », contourne les protections mémoire intégrées du noyau, puis prend le contrôle de l’exécution pour s’octroyer les privilèges root et sortir de l’espace de noms du conteneur. Il l’a démontré sur Debian Bookworm, Debian Trixie, Ubuntu 22.04 LTS et Ubuntu 24.04 LTS.
FuzzingLabs a reproduit le bug sur RHEL 10 avant le Pwn2Own Berlin 2026, en créant son propre exploit root par une autre voie. Le calendrier est serré : le correctif a été publié le 5 février, FuzzingLabs a publié son rapport le 16 avril, et l’article détaillé d’Exodus est parvenu le 8 juin. La technique est désormais documentée pour Debian, Ubuntu et Red Hat. Comme le bug se trouve dans la branche principale, toute distribution ayant livré un noyau vulnérable avec ces deux fonctionnalités activées est exposée, à moins que le renforcement de sécurité ou les restrictions d’espace de noms de la distribution ne bloquent le chemin d’accès.
CVE-2026-23111 s’inscrit au milieu d’une vague intense de divulgations de failles permettant l’accès root local sous Linux. Ces dernières semaines ont vu apparaître Copy Fail, la chaîne Dirty Frag, sa variante Fragnesia, DirtyDecrypt, ainsi qu’une faille ptrace vieille de neuf ans qui lit /etc/shadow et exécute des commandes en tant que root. Elles diffèrent dans les détails, mais partagent un point commun qui devrait inquiéter les défenseurs : un point d’ancrage sans privilèges continue de se transformer en root sur les installations standard.
Ubuntu propose des correctifs pour les versions 22.04, 24.04 et 25.10, et Debian a corrigé Bookworm et Trixie, avec un backport 6.1 pour Bullseye LTS. Red Hat, SUSE et Amazon Linux suivent également cette faille ; consultez l’avis de sécurité de votre distribution pour trouver le paquet du noyau correspondant au vôtre, car la version corrigée exacte varie. Le correctif en amont consistait en une seule ligne de code.
Il y a une vision plus large. Dans une analyse récente de la recrudescence des LPE, Synacktiv relie ce rythme à la recherche assistée par l’IA et à la comparaison de correctifs qui permettent de publier des exploits fonctionnels avant que les correctifs ne se généralisent, et soutient que le renforcement classique des systèmes permet toujours de gagner du temps aux défenseurs. La plupart de ces bogues s’appuient sur des fonctionnalités optionnelles du noyau ou des paramètres par défaut laxistes ; ainsi, en limitant l’accès des utilisateurs non privilégiés (aux espaces de noms utilisateur dans ce cas), on retarde l’exploitation jusqu’à l’application du correctif.
Mettez à jour le noyau et redémarrez. Le bug est uniquement local et nécessite des espaces de noms d’utilisateurs sans privilèges ; concentrez-vous donc d’abord sur les systèmes qui permettent à des utilisateurs ou des charges de travail non fiables de les créer. Il n’existe aucun rapport public faisant état d’une exploitation en milieu réel, et aucun acteur malveillant n’a été associé à cette faille. Le correctif est disponible depuis février, et le code d’exploitation est public depuis avril.
Ce rapport rappelle un rapport de mai 2026 qui a présenté la nouvelle faille de sécurité critique découverte dans le noyau Linux : Dirty Frag. Selon le rapport, cette vulnérabilité cible actuellement les systèmes Linux en permettant à des utilisateurs non autorisés d’obtenir les privilèges root. Elle exploite des erreurs de gestion de la mémoire au sein du noyau pour modifier des fichiers protégés, rendant les serveurs et les machines virtuelles vulnérables. Bien que des correctifs de production commencent à être déployés par des distributions comme Debian et Fedora, l’existence d’un code d’exploitation public accroît les risques de piratage. Elle intervient après la découverte de la faille de sécurité Copy Fail qui affecte le noyau.
Précédement, les développeurs du noyau Linux ont étudié une proposition visant à intégrer un bouton d’arrêt d’urgence (kill switch). Cette proposition fait suite à la découverte de failles de sécurité majeures dans le noyau. Le kill switch permettrait aux administrateurs de désactiver instantanément des fonctionnalités spécifiques jugées vulnérables avant même qu’un correctif officiel ne soit déployé. Bien qu’il offre une protection immédiate contre l’exploitation de bogues, il ne remplace pas une mise à jour logicielle complète. Il y a toutefois une inquiétude majeure : une mauvaise manipulation de cette fonctionnalité pourrait compromettre la stabilité du système.
Sources : Rapport d’Exodus, Rapport de FuzzingLabs
