Le mur entre locataires avait une fissure
La promesse discrète de tout serveur cloud et de tout serveur privé virtuel est la séparation. Votre machine et celle de l'inconnu qui paie le même fournisseur tournent sur le même matériel physique, et une couche nommée KVM, intégrée au noyau Linux, est ce qui les maintient à l'écart. Januscape, suivie sous CVE-2026-53359, est une fissure dans ce mur. C'est une situation de compétition dans la manière dont KVM gère les tables de pages fantômes, la carte interne qui traduit la mémoire d'une machine invitée en mémoire réelle. Sous la faille, l'hôte peut rattacher l'une de ces entrées au mauvais cadre invité, une confusion de numéro de cadre et de type qui, guidée avec soin, permet à une machine virtuelle hostile de pousser l'hôte à cartographier la mémoire choisie par l'attaquant. C'est une évasion d'invité vers hôte : le locataire sort de sa boîte sur le sol que tous partagent.
Ce qui la rend grave, c'est la portée. La faille se trouve dans du code commun aux processeurs Intel et AMD, elle se déclenche donc avec VMX et EPT d'un côté et SVM et NPT de l'autre. Elle a été introduite en 2010 et est restée dormante seize ans, ce qui signifie que presque tous les noyaux Linux publiés sur cette période la portent. Elle a été divulguée le 6 juillet sur la liste publique oss-security, corrigée en amont le 16 juin, et les noyaux stables corrigés, les versions 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 et 5.10.260, ne sont sortis que le 4 juillet.
Pourquoi nous avons corrigé a maintenant deux réponses
Le danger inhabituel ici n'est pas la faille, c'est la forme du remède. Fermer Januscape exige deux commits couplés en amont, pas un : le correctif de l'évasion portant CVE-2026-53359 et un correctif compagnon de numéro de cadre portant CVE-2026-46113. Si l'on n'applique que le premier, celui au nom mémorable, la porte reste entrouverte. Un administrateur qui a lu l'avis en vedette, appliqué ce seul correctif et fermé le ticket a fait la chose raisonnable et reste exposé. Voilà pourquoi une phrase de routine, c'est corrigé, ne règle plus l'affaire pour cette faille.
Pour un dirigeant, l'exposition est rarement sa propre baie de serveurs. C'est le fournisseur sous vos fournisseurs : l'hôte VPS qui exécute votre site, le cloud privé qui exécute votre logiciel métier, la plateforme gérée qui exécute vos données. En France, l'ANSSI est l'autorité de référence et le canal de notification, et la NIS2 impose la même attente : vous restez responsable de la sécurité des services rendus pour votre compte. Une évasion d'hyperviseur est exactement le type de défaillance d'infrastructure partagée pour lequel ces règles ont été écrites, car un hôte non corrigé peut défaire la séparation que mille clients payaient.
La question à poser à votre hébergeur cette semaine
Pour la plupart des dirigeants ce n'est pas une tâche de compilation de noyau, c'est une question d'achat posée clairement. Posez à celui qui exécute vos machines virtuelles, que ce soit un hôte VPS, une équipe interne de cloud privé ou un fournisseur de plateforme gérée, trois choses : le noyau de l'hôte est-il désormais sur une version stable corrigée ou un correctif à chaud ; ce correctif inclut-il les deux commits, celui de l'évasion et son compagnon ; et quand est-il arrivé. Aucun interrupteur de configuration ne rend cela sûr. Un noyau corrigé avec redémarrage, ou un correctif à chaud appliqué sans, est la seule réponse complète, et tant qu'elle n'est pas en place, tout hôte multilocataire doit être traité comme accessible depuis un voisin hostile.
Le glissement pratique est petit mais réel. Le locataire d'à côté, un nom que vous ne connaîtrez jamais, est passé ce mois-ci d'une inquiétude abstraite à une ligne de votre modèle de menace. Les dirigeants qui en font une réponse écrite et précise de leur fournisseur, plutôt qu'une supposition confortable, sont ceux qui ne devineront pas si cette faille est un jour enchaînée dans une intrusion réelle.
À lire ensuite: CitrixBleed revient, exploité en moins d'un jour | Un jeton falsifié ouvre chaque PC géré par l'outil



