
Une plateforme de chasse aux vulnérabilités pilotée par intelligence artificielle a découvert une faille vieille de 15 ans dans le noyau Linux, permettant à tout utilisateur non privilégié d’obtenir un accès root en quelques secondes, une nouvelle étape dans l’utilisation croissante de l’IA pour la découverte de vulnérabilités.
La faille, identifiée sous le nom CVE-2026-43499 et baptisée GhostLock, est une vulnérabilité use-after-free dans le code futex à héritage de priorité du noyau, présente depuis 2011. Elle obtient un score CVSS de 7,8 (élevé). Les chercheurs de Nebula Security l’ont découverte à l’aide de la plateforme VEGA AI de l’entreprise, qui a systématiquement analysé d’anciens codes du noyau rarement revisités par des réviseurs humains.
« Personne ne l’avait remarquée. Puis un outil de chasse aux bugs basé sur l’IA est parti à sa recherche, et désormais tout utilisateur connecté sur une machine non patchée peut devenir root en environ cinq secondes », a rapporté Sameed Khan pour Secure.com News.
L’équipe de Nebula a construit un exploit fonctionnel avec une fiabilité de 97 % et a démontré que la vulnérabilité peut également être utilisée pour s’échapper de l’isolation des conteneurs, une découverte critique pour les plates-formes cloud, les environnements multi-locataires et les runners CI/CD qui dépendent des frontières des conteneurs pour la sécurité. Google a versé 92 337 $ aux chercheurs via son programme de bug bounty kernelCTF pour cette découverte.
Le code de l’exploit fonctionnel a été rendu public, mais aucun abus actif dans la nature n’a été signalé.
La gravité de GhostLock est amplifiée par une chaîne d’attaque démontrée appelée IonStack, qui combine le bug du noyau avec une vulnérabilité distincte de Firefox (CVE-2026-10702). Dans ce scénario, une victime n’a besoin que d’ouvrir un lien malveillant : l’exploit du navigateur fournit une première exécution de code dans le sandbox de Firefox, puis GhostLock élève la session au contrôle root complet. Les chercheurs ont démontré que la chaîne fonctionnait contre Android Firefox.
Cette découverte survient quelques jours après la divulgation d’un autre bug d’élévation de privilèges Linux découvert par l’IA, Bad Epoll (CVE-2026-46242), dans un code ancien apparenté du noyau. Les chercheurs en sécurité s’attendent à ce que cette tendance se poursuive, alors que les outils d’analyse basés sur l’IA passent systématiquement au peigne fin des décennies de code noyau hérité.
Atténuation et correctifs
GhostLock affecte tous les noyaux Linux à partir de 2011. Des correctifs sont disponibles via les canaux de distribution grand public, bien que les administrateurs doivent vérifier le correctif spécifique de leur distribution. Les premiers correctifs ont introduit un crash du noyau distinct dans certaines versions.
Les systèmes à prioriser pour le patching incluent :
- Les serveurs cloud multi-locataires et les hôtes de conteneurs, où le vecteur d’évasion de conteneur présente le plus grand risque
- Les infrastructures de développement partagé et CI/CD
- Tout système où des utilisateurs locaux non privilégiés ont des comptes
Des fonctionnalités de durcissement du noyau telles que RANDOMIZE_KSTACK_OFFSET et STATIC_USERMODE_HELPER peuvent rendre l’exploitation plus difficile mais ne suppriment pas la vulnérabilité sous-jacente.
La divulgation de GhostLock souligne un changement plus large dans la cybersécurité : les outils d’IA rendent possible l’audit de vastes pans de code d’infrastructure hérité que les réviseurs humains ont longtemps dépriorisé. Ce qui a pris 15 ans à manquer à une équipe humaine peut désormais être trouvé par une IA en quelques heures.
Sources : GhostLock Flaw Gives Any Linux User Root Access (Secure.com News, 8 juillet 2026) ; AI Found a Root Bug in Linux That Everyone Missed for 15 Years (Wired, 11 juillet 2026)
Traduit par Lydie

