CIFSwitch, la nouvelle faille Linux qui donne silencieusement les clés de votre système depuis 2007

Nous générons pour vous un résumé de l’article grâce à une IA et nous le vérifions afin de nous assurer qu’il n’y ait aucune erreur, pour garantir l’authenticité de l’info.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’

Depuis plusieurs semaines, une vague de découvertes de failles inquiétantes frappe le noyau Linux, le système d’exploitation qui fait tourner l’essentiel des serveurs et des infrastructures cloud de la planète.

La plus remarquable d’entre elles, baptisée Copy Fail, est une vulnérabilité enfouie depuis 2017 dans le noyau Linux, qui permettait de prendre le contrôle total d’un système.

Ce record de longévité est battu avec CIFSwitch, qui s’ajoute donc à cette longue liste. Divulguée le 27 mai 2026 par le chercheur Asim Manizada, ingénieur en sécurité chez SpaceX, la faille dormait dans le code du noyau Linux depuis 2007, soit 19 ans.

Pour comprendre CIFSwitch, il faut d’abord savoir ce qu’est CIFS. Ce protocole réseau permet à une machine Linux de se connecter à des dossiers partagés sur le réseau, typiquement des serveurs de fichiers Windows dans une entreprise. C’est une fonctionnalité très courante dans les environnements professionnels.

Quand ce partage réseau utilise Kerberos pour s’authentifier (un système de tickets d’accès standard en entreprise), le noyau Linux ne gère pas lui-même cette authentification. Il délègue la tâche à un petit programme externe nommé cifs.upcall qui s’exécute avec les droits root pour pouvoir accomplir ses opérations.

Le problème : le noyau ne vérifiait pas que la demande d’authentification venait bien de son propre sous-système. N’importe quel processus sur la machine pouvait donc envoyer une fausse demande du même type, avec des paramètres entièrement contrôlés par l’attaquant.

À partir de là, la chaîne d’exploitation est redoutablement efficace. L’attaquant force le programme à basculer dans un espace de noms qu’il contrôle, il peut alors implanter à l’avance un faux module système malveillant, chargé et exécuté avec les droits root. Ainsi, sur une machine vulnérable, n’importe quel utilisateur local peut modifier les configurations et devenir root en une seule commande.

Bonne nouvelle, CIFSwitch n’est pas universelle : elle requiert une version vulnérable du noyau et certaines configurations système spécifiques. Asim Manizada souligne néanmoins que plusieurs distributions sont vulnérables par défaut : Linux Mint, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux ou SLES 15 SP7.

Mais ce qui rend CIFSwitch particulièrement notable, c’est la méthode de découverte. Asi