C'est l'histoire d'une infrastructure qui tombe en panne. Jusque-là, rien de fou. Sauf quand cette panne dure depuis plus de 24 heures et concerne directement une vulnérabilité critique qui donne les droits root à n'importe qui. Oui, vous avez bien lu : les serveurs derrière les mises à jour de sécurité Ubuntu sont devenus muets. Et pendant ce temps-là, des millions de machines restent exposées.
Le blackout de la confiance
Le 25 mars 2025, les serveurs d'infrastructure d'Ubuntu ont commencé à tousser. À l'heure où j'écris, plus de 26 heures se sont écoulées sans que Canonical ne donne le moindre signe de vie. Les dépôts de paquets, les snap store, les services de build ? Tout est en carafe. Mais le plus croustillant, c'est qu'une faille de sécurité classée CVSS 9.1 (oui, presque le max) permet à un attaquant local d'obtenir un shell root sans même transpirer. Et le patch ? Il est prêt, mais coincé dans le pipeline en panne.
Le scandale du silence
Contacté par e-mail, téléphone, pigeon voyageur, le service com' de Canonical répond : « Nous travaillons à rétablir le service. » Merci, on avait deviné. Et la faille ? « Nous communiquerons en temps voulu. » Traduction : on espère que personne ne s'en aperçoit avant qu'on ait fini de remettre en route le data center qui a pris l'eau. Pendant ce temps, des administrateurs système blanchissent en regardant leurs serveurs Ubuntu afficher des alertes de sécurité non patchables. Mark Shuttleworth doit compter ses billets en se demandant si son Ubuntu Pro à 25 dollars par nœud couvre vraiment quelque chose.
Qui se goinfre, qui se fait rouler
Canonical a levé plus de 100 millions de dollars ces dernières années. Avec ça, on a une infrastructure qui tient moins bien qu'un site de fan dans les années 90. Les clients Pro payent pour une sécurité premium ? Ils peuvent toujours attendre. Pendant ce temps, les concurrents – Debian, Red Hat, même OpenSUSE – ont déjà poussé des correctifs pour leurs propres distributions. Mais non, l'écosystème Ubuntu est une passoire, et c'est l'utilisateur final qui trinque.
Leçons d'une catastrophe annoncée
Quand on centralise toute la sécurité sur une seule infrastructure sans redondance digne de ce nom, on récolte ce qu'on sème. Canonical savait que ce serveur était un point unique de défaillance. Ils ont préféré investir dans des merch et des conférences. Résultat : le patch Tuesday est devenu le punch Thursday. Si vous avez Ubuntu en production, vous êtes seuls face à votre écran. Bonne chance.