Une faille de sécurité majeure, baptisée CIFSwitch, vient d’être révélée dans le noyau Linux. Selon Numerama, ce bug, présent depuis 2007, permet à un utilisateur local sans droits particuliers d’obtenir un accès administrateur complet sur un système vulnérable. La vulnérabilité a été rendue publique le 27 mai 2026 par le chercheur Asim Manizada, ingénieur en sécurité chez SpaceX.

Ce qu'il faut retenir

  • Une faille, nommée CIFSwitch, existe dans le noyau Linux depuis 2007 — soit 19 ans — avant d’être découverte.
  • Elle permet à un utilisateur local sans privilèges d’obtenir un accès root en exploitant une faille dans le protocole CIFS et le système d’authentification Kerberos.
  • Plusieurs distributions Linux sont vulnérables par défaut : Linux Mint, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux et SLES 15 SP7.
  • La faille repose sur une absence de vérification des demandes d’authentification, permettant à un attaquant de forcer l’exécution de code malveillant avec les droits root.
  • Asim Manizada a utilisé une méthode assistée par IA pour identifier cette faille, une approche de plus en plus répandue dans la recherche en cybersécurité.

Une faille aux origines profondes et aux conséquences redoutables

Le noyau Linux, socle de nombreux serveurs et infrastructures cloud dans le monde, est depuis plusieurs semaines la cible d’une série de vulnérabilités critiques. Selon Numerama, CIFSwitch se distingue par sa longévité exceptionnelle : ce bug dormait dans le code depuis près de deux décennies avant d’être identifié. Pour rappel, une précédente faille majeure, Copy Fail, avait été découverte en 2017 dans le même noyau. Cette dernière permettait déjà de prendre le contrôle total d’un système en modifiant un fichier en mémoire vive.

CIFSwitch exploite quant à elle une faiblesse dans le protocole CIFS, utilisé pour connecter des machines Linux à des dossiers partagés sur un réseau, souvent des serveurs de fichiers Windows en milieu professionnel. Lorsqu’un partage réseau utilise Kerberos pour l’authentification, le noyau Linux délègue cette tâche à un programme externe, cifs.upcall, qui s’exécute avec les droits root. Or, comme l’explique Numerama, le noyau ne vérifie pas que la demande d’authentification provient bien de son propre sous-système. Un processus malveillant peut ainsi envoyer une fausse demande, contrôlée par l’attaquant, et forcer l’exécution de code arbitraire avec les privilèges les plus élevés.

Un enchaînement d’erreurs permettant une prise de contrôle en une seule commande

L’exploitation de CIFSwitch repose sur une chaîne d’erreurs logiques particulièrement efficace. Une fois la fausse demande d’authentification envoyée, l’attaquant peut basculer le programme dans un espace de noms qu’il contrôle. Il lui suffit alors d’y implanter un module système malveillant, chargé et exécuté automatiquement avec les droits root. Résultat : sur une machine vulnérable, n’importe quel utilisateur local peut devenir administrateur du système en une seule commande, sans nécessiter de privilèges préalables.

Cette méthode d’attaque, bien que technique, démontre la dangerosité des failles dites « de chaîne » dans les noyaux modernes. Selon Asim Manizada, la faille a été découverte grâce à une approche innovante, combinant intelligence artificielle et analyse automatisée des relations entre les composants du noyau. Plutôt que d’auditer manuellement le code, le chercheur a utilisé un modèle pour cartographier les interactions entre les différentes parties du système, identifiant ainsi des enchaînements de petites failles logiques devenues exploitables.

Des distributions Linux vulnérables par défaut, mais une faille loin d’être universelle

Malgré sa gravité, CIFSwitch n’affecte pas toutes les installations Linux. Elle nécessite en effet une version vulnérable du noyau ainsi que des configurations système spécifiques. Numerama précise que plusieurs distributions populaires sont concernées par défaut, notamment Linux Mint, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux et SLES 15 SP7. D’autres systèmes, en revanche, ne sont pas affectés, ou ne le sont que sous certaines conditions.

L’absence d’attribution d’un identifiant CVE (Common Vulnerabilities and Exposures) au moment de la divulgation publique souligne la complexité de la gestion des vulnérabilités dans les noyaux open source. Une attribution est actuellement en cours, mais elle pourrait prendre plusieurs jours, voire semaines, en fonction des protocoles de validation.

« La méthode assistée par IA que j’ai utilisée pour découvrir CIFSwitch montre à quel point l’automatisation devient essentielle dans la recherche de failles. Les modèles d’IA permettent de repérer des enchaînements de vulnérabilités que les humains pourraient manquer, surtout dans un code aussi vaste et complexe que le noyau Linux. »

Asim Manizada, ingénieur en sécurité chez SpaceX, d’apres Numerama

Un contexte de vulnérabilités récurrentes dans le noyau Linux

CIFSwitch s’inscrit dans une série de découvertes inquiétantes concernant le noyau Linux. Depuis plusieurs semaines, les chercheurs en cybersécurité multiplient les annonces de failles critiques, rappelant la fragilité des infrastructures informatiques mondiales. En avril 2026, la vulnérabilité Copy Fail, enfouie depuis 2017, avait déjà révélé la possibilité de modifier des fichiers système en mémoire vive pour en prendre le contrôle. Ces incidents successifs soulèvent des questions sur la robustesse du noyau, malgré son statut de référence en matière de fiabilité et de sécurité.

Les raisons de cette recrudescence de failles restent débattues. Certains experts évoquent une augmentation des audits indépendants, rendue possible par l’accessibilité croissante des outils d’analyse automatisée. D’autres pointent du doigt la complexité croissante des noyaux modernes, intégrant des milliers de fonctionnalités et des millions de lignes de code, ce qui rend les erreurs inévitables à long terme. Quoi qu’il en soit, la communauté de la cybersécurité s’accorde sur un point : la découverte de CIFSwitch, avec sa longévité exceptionnelle, est un rappel brutal de l’importance de la vigilance constante.

Et maintenant ?

Les utilisateurs des distributions concernées sont invités à mettre à jour leur noyau dès que des correctifs seront disponibles. D’après Numerama, les mainteneurs des distributions vulnérables devraient publier des mises à jour d’ici la fin de la semaine. Pour les administrateurs système, une vérification immédiate des versions installées est recommandée, ainsi qu’une revue des configurations utilisant le protocole CIFS avec Kerberos. La méthode d’analyse assistée par IA, désormais adoptée par plusieurs chercheurs, pourrait accélérer la détection de nouvelles failles dans les mois à venir — mais elle soulève aussi des questions sur la dépendance accrue à l’intelligence artificielle dans la cybersécurité.

Reste à voir si cette série de vulnérabilités incitera les développeurs du noyau Linux à renforcer les mécanismes de vérification des appels système, ou si les entreprises devront multiplier les couches de sécurité en attendant des correctifs définitifs. Une chose est sûre : dans un monde où les infrastructures numériques sont au cœur de l’économie et de la vie quotidienne, la stabilité du noyau Linux reste un enjeu majeur.

Selon Numerama, les distributions suivantes sont vulnérables par défaut : Linux Mint, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux et SLES 15 SP7. D’autres systèmes peuvent l’être sous certaines configurations.

Vous pouvez vérifier la version de votre noyau Linux en exécutant la commande uname -r dans un terminal. Comparez ensuite cette version avec les listes de vulnérabilités publiées par les mainteneurs de votre distribution. Une mise à jour du noyau est généralement la première étape pour se protéger.