L’alerte est tombée à la fin du mois de septembre et elle concerne l’un des outils les plus utilisés du monde Linux. Le programme sudo, (indispensable pour exécuter des tâches admin) souffre d’une faille critique qui permet à un simple utilisateur d’obtenir les pleins pouvoirs sur une machine. L’agence américaine CISA a confirmé que des attaques étaient déjà en cours. Les distributions ont publié des correctifs et il ne reste qu’une mesure à prendre pour se protéger, mettre à jour sans attendre.
Élévation de privilèges root via sudo CVE-2025-32463
La faille connue sous le nom CVE-2025-32463 affecte sudo et permet à un utilisateur local d’obtenir des privilèges root en tirant parti du mécanisme de chroot. Les analyses montrent que sudo utilisait un fichier nsswitch.conf issu d’un espace contrôlé par l’utilisateur, ce qui pouvait conduire au chargement de bibliothèques partagées malveillantes lors d’un appel avec l’option –chroot.
Sont concernées les versions de sudo intégrant le support chroot publiées entre 1.9.14 et 1.9.17 incluses et la correction a été délivrée dans la version 1.9.17p1. Le scénario d’exploitation repose sur deux étapes. Premièrement l’attaquant place dans la racine du chroot un etc/nsswitch.conf et une bibliothèque libnss_*.so. Ensuite, lorsque sudo s’exécute avec –chroot, il peut charger cette bibliothèque malveillante et exécuter du code avec les privilèges root, même depuis un compte non présent dans sudoers. Cette chaîne d’attaque rend la vulnérabilité particulièrement sensible.
Les autorités de sécurité ont confirmé l’ampleur du risque et la réalité d’attaques actives. L’agence CISA a ajouté CVE-2025-32463 à son catalogue Known Exploited Vulnerabilities en signalant que l’exploitation est observée en production et appelant à appliquer les correctifs fournis par les distributions.
Ce qu’un attaquant peut faire après avoir exploité la faille sudo
Une fois escaladés au niveau root, les attaquants peuvent remodeler l’environnement technique à leur guise, créer des comptes fantômes, installer des moyens d’accès persistants et altérer les traces d’intrusion pour retarder toute détection. Le poste compromis cesse d’être une simple machine isolée et devient une base d’opérations pour des actions plus larges.
Les conséquences opérationnelles sont lourdes. L’accès root facilite le déploiement de malwares sophistiqués et de ransomwares capables de chiffrer des données stratégiques ou d’installer des modules d’espionnage discrètement intégrés dans des processus légitimes. Il permet aussi d’extraire des informations sensibles de manière ciblée et continue.
Comment mettre à jour sudo selon sa distribution ?
Pour corriger la faille critique de sudo, il ne suffit pas de mettre à jour uniquement l’outil lui-même. Les distributions publient le correctif dans leurs dépôts officiels, ce qui impose d’appliquer une mise à jour complète du système. Les étapes varient légèrement selon la famille Linux utilisée.
Ubuntu et Debian
Ces distributions utilisent le gestionnaire de paquets APT. Pour récupérer la dernière liste des paquets disponibles puis appliquer toutes les mises à jour, exécutez :
sudo apt update
sudo apt full-upgrade -y
Fedora, Red Hat et CentOS
Dans l’écosystème Red Hat, c’est l’outil DNF qui gère les mises à jour. La commande suivante installe directement le correctif de sudo ainsi que les autres mises à jour de sécurité :
sudo dnf update -y
Arch Linux et Manjaro
Basées sur un modèle de mise à jour continue (rolling release), ces distributions utilisent pacman. La commande suivante permet de synchroniser les dépôts et de mettre à jour tous les paquets, y compris sudo :
sudo pacman -Syu
Un redémarrage est conseillé afin de s’assurer que toutes les bibliothèques mises à jour sont chargées et qu’aucun processus vulnérable ne reste en mémoire.
Linux n’est pas invulnérable l’importance des mises à jour
La découverte de cette faille rappelle qu’aucun composant n’est à l’abri, même au cœur de l’univers Linux. La vulnérabilité de sudo illustre à quel point un outil utilisé quotidiennement peut devenir une porte d’entrée critique lorsqu’il n’est pas corrigé rapidement.
La sécurité sur Linux n’est pas automatique, elle repose sur la rigueur des mises à jour et sur la capacité des administrateurs comme des utilisateurs à appliquer sans délai les correctifs diffusés par les distributions. Un système négligé, même isolé ou considéré comme secondaire, peut se transformer en maillon faible et ouvrir la voie à des attaques plus larges.
À propos de l'auteur
Adrien Piron
