Ah, Linux. Le noyau que l'on croyait inébranlable, le bastion de la stabilité dans un monde de Windows qui s'écroule. Sauf que voilà, deux semaines, deux failles. La deuxième, baptisée sobrement CVE-2024-XXXX (on ne va pas s'embarrasser d'un nom ronflant, hein ?), permet à n'importe quel attaquant local de prendre le contrôle de votre serveur chéri. Mais rassurez-vous, les patchs sont là. Enfin, presque. Ils arrivent. Un par un. Comme les bus le dimanche.
Deux semaines, deux failles : la routine
Rappel des faits : le 12 mars, une vulnérabilité dans le sous-système de gestion de la mémoire (CVE-2024-1234) permettait une escalade de privilèges. Aujourd'hui, une seconde faille, tout aussi sévère (score CVSS 8,4, si vous tenez à le savoir), touche le module de gestion des entrées/sorties. Coïncidence ? Non. C'est le rythme de croisière d'un noyau vieillissant, maintenu par des bénévoles épuisés et des entreprises qui ne lèvent le petit doigt que quand leurs serveurs de production se mettent à genoux.
Des correctifs en production, vraiment ?
L'annonce officielle claironne : « Les correctifs de version de production arrivent en ligne, installez-les rapidement. » Vite, vite, comme si c'était un feu de brousse. Sauf que dans la vraie vie, les admins système doivent coordonner des mises à jour sur des milliers de machines, planifier des fenêtres de maintenance, espérer que les pilotes propriétaires ne pètent pas. Et pendant ce temps, les exploits se promènent sur GitHub. Plus de 60 % des entreprises courent toujours après la faille de la semaine dernière, selon une étude rapide de notre service de comptage de doigts mouillés. Mais oui, « en production » veut tout dire.
Qui se goinfre, qui se fait rouler
Les premières à être averties ? Les distributions grand public (Ubuntu, Debian, Red Hat) – non, pas les brouettes de l'embarqué. Pendant que les utilisateurs de serveurs bancaires poireautent, les équipes de sécurité des GAFA ont déjà patché leurs clusters en secret. Elles avaient accès aux détails de la faille via les canaux privés (merci le bug bounty, les accréditations). Pendant ce temps, le petit entrepreneur qui fait tourner son e-commerce sur un VPS à 5 balles apprend la nouvelle par un tweet de @linux_kernel_bot. La transparence ? Un mythe.
Linux, victime de son succès ? Non, victime de son manque de moyens
Le noyau Linux couvre des millions de lignes de code, gère plus d'architectures que votre grand-mère n'a de recettes de confiture. Mais les mainteneurs bénévoles sont au nombre de... moins de 100 pour les parties critiques. Les entreprises qui utilisent Linux gratuitement (Amazon, Google, Meta) reversent une misère comparée à ce qu'elles économisent. Un audit de sécurité récent montre que 40 % des failles critiques signalées en 2024 sont dues à une mauvaise gestion des privilèges – exactement le genre de problème que des revues de code plus fréquentes éviteraient. Mais qui paie ? Personne. Alors on bricole, on patch à chaud, et on espère.
À quand une vraie refonte ?
La solution ne viendra pas d'un énième patch backporté. Elle viendrait de réécritures ciblées des modules les plus vulnérables, d'un financement pérenne des mainteneurs, et d'une politique de divulgation qui ne favorise pas les gros. Mais ça demande du pognon et du courage. En attendant, installez vos patches, serrez les fesses, et priez pour que la prochaine faille ne soit pas zero-day. Parce qu'avec la cadence actuelle, ce n'est qu'une question de temps.
Susanoo News – Parce que la vérité sent la poudre et le café brûlé.