Une faille du noyau Linux expose les clés d’hôte SSH dans un nouveau revers de sécurité

Un Nouveau Bug Linux Très Médiatisé Apparaît

Les administrateurs Linux ont une nouvelle vulnérabilité du noyau à surveiller, et celle-ci touche directement certains des éléments les plus sensibles d’un système. Qualys a divulgué CVE-2026-46333, une vulnérabilité de divulgation d’informations dans le noyau Linux qui peut permettre à des utilisateurs ordinaires de lire des données auxquelles ils ne devraient jamais avoir accès, notamment les clés privées d’hôte SSH et le fichier shadow des mots de passe.

Selon le texte source fourni, la faille a été surnommée

ssh-keysign-pwn parce que l’un des principaux chemins d’exploitation implique le binaire auxiliaire

ssh-keysign d’OpenSSH. Cet assistant est généralement setuid root pour l’authentification basée sur l’hôte, ouvre les clés SSH d’hôte du système, puis abandonne les privilèges pour terminer son travail. Le problème est qu’un attaquant peut être en mesure d’intercepter l’accès pendant une fenêtre étroite au niveau du noyau.

En Quoi Consiste la Vulnérabilité

Qualys indique que le bug se situe dans la logique

__ptrace_may_access() du noyau Linux, plus précisément dans les vérifications exécutées lors de la sortie des processus. Dans certaines conditions, les vérifications normales de

dumpable peuvent être contournées après qu’un processus a abandonné son mappage mémoire. Le résultat, selon la source, est une brève opportunité pour un autre processus de voler des descripteurs de fichier.

Cela peut sembler limité, mais les conséquences pratiques ne le sont pas. La source indique explicitement que des attaquants pourraient exfiltrer les clés d’hôte SSH et les empreintes de mots de passe. Même sans compromission totale immédiate du compte root, ce type d’accès constitue un point d’ancrage sérieux.

Pourquoi les Clés d’Hôte SSH Comptent

Les clés privées d’hôte SSH ne sont pas de simples identifiants locaux. Elles servent à établir l’identité de la machine dans des environnements de confiance. Si ces clés sont volées, un attaquant peut être en mesure d’usurper une machine légitime dans des relations de confiance fondées sur l’hôte. Le risque passe alors d’une seule machine compromise à des possibilités plus larges de mouvement latéral au sein d’un environnement.

Le fichier shadow des mots de passe pose un problème différent, mais tout aussi important. Une fois que les attaquants obtiennent des empreintes de mots de passe, ils peuvent tenter de les casser hors ligne et éventuellement réutiliser les identifiants récupérés sur d’autres systèmes. La source décrit ces deux issues comme de puissants leviers de persistance et d’expansion.

Le Calendrier Est Remarquable

Cette faille est présentée comme la quatrième vulnérabilité locale Linux très médiatisée en seulement quelques semaines. Cette séquence compte, car elle accroît la pression sur les mainteneurs comme sur les opérateurs. Un bug isolé peut être traité comme une maintenance de routine. Une série de failles du noyau change le paysage opérationnel, surtout pour les organisations qui supposent que la posture de sécurité de Linux est statique ou s’auto-gère.

Qualys affirme également que la faille existe sous une forme ou une autre depuis environ six ans. Si cela est exact, la divulgation serait particulièrement embarrassante: une faiblesse locale liée à une logique d’accès centrale, présente suffisamment longtemps pour toucher plusieurs générations de versions et d’environnements de déploiement.

Correctif Disponible, Mais Retard de Distribution

La bonne nouvelle, c’est qu’un correctif existe déjà. La mauvaise nouvelle, selon la source, est que la plupart des distributions Linux n’avaient pas encore largement diffusé la correction au moment de la publication. C’est souvent là que le risque s’accumule. Une fois la vulnérabilité publique, les défenseurs se précipitent pour suivre les calendriers de publication des paquets tandis que les attaquants étudient les chemins de preuve de concept.

L’article cite Linus Torvalds expliquant que le problème vient d’un cas particulier étrange dans lequel

ptrace_may_access() utilise

dumpable pour des vérifications par ailleurs indépendantes de la carte mémoire. Il s’agit d’un problème d’implémentation très spécifique, mais cela confirme que le bug n’est pas une vague question de durcissement. C’est une faille de logique du noyau bien définie, avec un correctif upstream.

Ce Que Les Opérateurs Doivent Retenir

• CVE-2026-46333 est une vulnérabilité de divulgation d’informations dans Linux.
• Qualys indique qu’elle peut exposer les clés privées d’hôte SSH et le fichier shadow des mots de passe.
• Un correctif existe, mais il n’était pas encore largement disponible dans la plupart des distributions au moment de la publication de l’article source.
• La faille implique la logique

  __ptrace_may_access() du noyau lors de la sortie des processus.

Pour les administrateurs, c’est le type de problème qui mérite un inventaire immédiat. Les systèmes exécutant des noyaux non corrigés ne sont peut-être pas compromettables à distance à cause de cette faille seule, d’après la source fournie, mais un accès local suffit à en faire un aide majeur à l’escalade.

La leçon plus large concerne moins un surnom que la cadence. Linux traverse une période de réveil visible sur le plan de la sécurité, et la discipline opérationnelle autour des correctifs, de la disponibilité des paquets et de l’exposition des utilisateurs locaux compte davantage lorsque des bugs du noyau commencent à arriver par grappes.

Cet article est basé sur un reportage de ZDNET. Lire l’article original.