Vous pensiez que Linux était ce truc solide, ce roc numérique sur lequel repose l'Internet ? Détrompez-vous. CopyFail – une vulnérabilité aussi élégamment nommée qu’un bide de start-up – vient de rappeler à toute la planète code que le noyau n’est pas un bunker. Et comme d’habitude, les RSSI étaient en train de siroter leur matcha latte en lisant les prévisions météo.
CopyFail, c’est quoi ce machin ?
Une faille dans la gestion des threads du noyau Linux, qui permet à un attaquant local (ou à conteneur) de lire la mémoire d’un autre process. Traduction : si vous hébergez trente sites clients sur un même serveur, l’un d’eux peut désormais espionner les mots de passe des vingt-neuf autres. Génial, non ? L’exploit a été qualifié de ‘sévérité critique’ par l’équipe sécurité du noyau – score CVSS 9.1, pour les amateurs de chiffres qui font peur. Mais le plus drôle, c’est que personne n’a vu venir le coup. Personne. Pas même les gourous du tuning kernel.
Qui est (encore) dans la ligne de mire ?
Les serveurs multi-tenants, les pipelines CI/CD, Kubernetes, et plus généralement tous les environnements où des workloads s’exécutent côte à côte. Vous savez, ce genre d’architectures que tous les architectes « cloud native » vous vendent comme le Graal de la scalabilité. Et si l’exploit est déjà en cours d’utilisation dans la nature ? Bien sûr que non, vous disent les vendeurs de pare-feux. Mais attendez la première fuite massive de cartes de crédit pour entendre les « on vous l’avait bien dit ».
Le coupable idéal : l’arrogance technologique
Ce n’est pas une faille de l’espace utilisateur, non. C’est une vulnérabilité dans le noyau – là où l’on n’a pas le droit de se tromper. Et pourtant, elle dort dans le code depuis des années. Les développeurs du noyau, ces demi-dieux du logiciel libre, ont laissé passer un copy-paste malheureux. Ironique, non ? Le monde entier leur confie ses données, et ils gèrent les threads comme un stagiaire en première semaine. Mais personne ne remet en cause le modèle. On patche, on redéploie, et on oublie. Jusqu’à la prochaine CopyFail.
Qui se frotte les mains ?
Les éditeurs de solutions de sécurité, pardi. Les consultants en cybersécurité qui vont facturer des audits « découverte de CopyFail » à 5000 € la journée. Sans oublier les fournisseurs de distros Linux, qui vont sortir des correctifs d’urgence – plus vite que leur ombre – histoire de briller en comité de direction. Et les DSI ? Ils vont acheter des licenses supplémentaires de leur tool de sécurité préféré, en se disant que cette fois, c’est la bonne. Pendant ce temps-là, les équipes DevOps continuent à déployer des dizaines de pods par seconde, les vulnérabilités se multiplient, et le monde tourne.
Alors, on fait quoi ?
Mettez à jour noyau et rebuild de vos images conteneur. Vite. Si votre base de code est une soupe de microservices, prévoyez de passer le week-end à recompiler. Et surtout, arrêtez de croire que Kubernetes gère la sécurité tout seul. Ce n’est pas le cas. Ce ne l’a jamais été. CopyFail n’est qu’un symptôme d’un mal plus profond : la croyance aveugle que l’open source est infaillible. Elle ne l’est pas. Et elle ne le sera jamais. Mais rassurez-vous, les mêmes gourous qui vous ont vendu le cloud natif vous vendront le patch nanifié version 2.0, avec une blockchain en prime. Vous repasserez.