Le dernier bogue du noyau Linux n'a pas de nom fantaisiste ; il s'appelle simplement « ssh‑keysign‑pwn ». C'est la quatrième faille de sécurité locale très médiatisée à frapper Linux en quelques semaines. Celle-ci permet aux utilisateurs ordinaires de lire tranquillement certains des fichiers les plus sensibles d'un système, notamment les clés privées hôtes SSH (Secure Shell) et le fichier shadow des mots de passe.

La vulnérabilité doit son surnom « ssh‑keysign‑pwn » à l'une des principales voies d'exploitation : abuser du binaire d'aide ssh-keysign d'OpenSSH. Keysign est utilisé pour l'authentification basée sur l'hôte et s'exécute généralement avec setuid root, ouvrant les clés hôtes SSH du système avant de réduire ses privilèges pour terminer son travail.

Des chercheurs en sécurité de la société Qualys ont divulgué CVE‑2026‑46333, une vulnérabilité de divulgation d'informations dans le contrôle d'accès ptrace du noyau Linux. Qualys affirme qu'elle existe sous une forme ou une autre depuis environ six ans.

La faille se trouve dans la logique __ptrace_may_access() qui s'exécute lorsque les processus se terminent. Dans certaines conditions, le noyau ignore les vérifications normales de « dumpable » une fois qu'un processus a abandonné son mappage mémoire. Cela ouvre une brève fenêtre permettant à un autre processus de voler ses descripteurs de fichiers.

Bien que ssh‑keysign‑pwn ne fournisse pas à lui seul un shell root complet, la capacité d'exfiltrer les clés hôtes et les hachages de mots de passe est un élément de base puissant pour le mouvement latéral et la persistance à long terme. De plus, avec des clés hôtes SSH volées, les attaquants peuvent usurper l'identité de machines dans des relations de confiance basées sur l'hôte. Avec l'accès au répertoire shadow des mots de passe, ils peuvent tenter de casser les mots de passe hors ligne et réutiliser ces identifiants sur d'autres systèmes.

Dans son correctif, Linus Torvalds a expliqué que le problème existe parce que « Nous avons un cas particulier étrange : ptrace_may_access() utilise 'dumpable' pour vérifier diverses autres choses totalement indépendamment du MM (généralement en utilisant explicitement des drapeaux comme PTRACE_MODE_READ_FSCREDS). Y compris pour les threads qui n'ont plus de VM (et qui n'en ont peut-être jamais eu, comme la plupart des threads du noyau). Ce n'est pas à cela que ce drapeau était destiné, mais c'est comme ça. »

Ce que cela signifie pour vous et moi, c'est qu'en combinant cette erreur logique avec l'appel système pidfd_getfd(2), les utilisateurs non privilégiés peuvent atteindre des processus privilégiés en cours d'arrêt, saisir leurs descripteurs de fichiers encore ouverts, puis lire des fichiers normalement accessibles uniquement à root.

La bonne nouvelle, c'est que le correctif est disponible. Le mainteneur stable de Linux, Greg Kroah‑Hartman, a déjà déployé des mises à jour sur plusieurs branches supportées, y compris les nouvelles versions 7.0.8, 6.18.31, 6.12.89, 6.6.139, 6.1.173, 5.15.207 et 5.10.256, qui contiennent toutes le correctif ssh‑keysign‑pwn. Vous voudrez passer à l'un de ces noyaux dès que possible. Cette faille affecte tous les noyaux Linux publiés avant le 14 mai 2026.

En attendant que les noyaux corrigés soient largement disponibles, les équipes de sécurité ont quelques options d'atténuation, mais chacune a des compromis. Une solution rapide et sale consiste à renforcer les restrictions ptrace Yama de Linux, ce qui désactive ptrace pour les utilisateurs non root et bloque l'exploit, mais casse également de nombreux flux de débogage et de surveillance. Vous pouvez également réduire l'exposition en désactivant l'authentification SSH basée sur l'hôte et l'aide ssh-keysign entièrement sur les systèmes où ils ne sont pas nécessaires, mais cela stoppe SSH net.

Comme l'a dit un membre fatigué de l'équipe Manjaro Linux : « Ne faites pas tourner votre PC si vous n'en avez pas besoin. Enfermez-vous et regardez par-dessus votre épaule. » Eh bien, c'est certainement une façon de gérer ça !