En bref :
- 🚨 Deux vulnérabilités majeures ont été découvertes dans l’utilitaire Sudo sur les systèmes Linux et Unix.
- 🔥 CVE-2025-32463 : Faille critique (score 9.3) permettant d’obtenir un accès root via la fonction chroot.
- ⏳ CVE-2025-32462 : Faille présente depuis plus de 12 ans, liée à l’option –host.
- 💻 Des systèmes majeurs comme Ubuntu, Fedora et macOS Sequoia sont directement concernés en cette année 2026.
- 🛡️ La mise à jour vers Sudo 1.9.17p1 est impérative pour sécuriser vos infrastructures et éviter des pertes financières liées aux cyberattaques.
Plongée au cœur de la faille critique CVE-2025-32463 dans Sudo
Le frisson parcourt régulièrement la colonne vertébrale des administrateurs système, et l’actualité informatique de 2026 ne fait pas exception. L’utilitaire Sudo, véritable pilier de la gestion des droits sur les systèmes Linux et Unix, se retrouve sous le feu des projecteurs à cause d’une faille dévastatrice. Identifiée sous la référence CVE-2025-32463, cette vulnérabilité affiche un score CVSS effrayant de 9.3 sur 10.
Le talon d’Achille se situe dans l’option –chroot (ou -R), initialement conçue pour cloisonner l’exécution de commandes. Ironiquement, c’est cette fonction de sécurité qui offre aujourd’hui les clés du royaume aux attaquants. Un utilisateur local, même dépourvu de privilèges particuliers, peut tromper le système en manipulant habilement un fichier /etc/nsswitch.conf au sein du répertoire racine qu’il contrôle.
Le résultat de cette manœuvre est sans appel : le chargement d’une bibliothèque partagée arbitraire. Dès lors, le pirate obtient un accès root complet, lui permettant de prendre le contrôle total de la machine. Les conséquences d’une telle brèche peuvent s’avérer désastreuses pour les entreprises, entraînant des fuites de données massives et des coûts de remédiation faramineux qu’un simple audit aurait pu éviter.
Comment l’option chroot est devenue la porte dérobée des hackers
Pour bien comprendre l’ampleur du problème, il faut se pencher sur le comportement du code incriminé. L’équipe de recherche cyber de Stratascale, et plus particulièrement le chercheur Rich Mirch, a mis en lumière cette mécanique perverse. L’attaquant force Sudo à exécuter du code malveillant en exploitant la façon dont le programme résout les chemins d’accès lors de l’utilisation de l’environnement virtuel chroot.
Face à ce constat alarmant, les mainteneurs du projet ont pris une décision radicale et inédite. Depuis le dernier correctif publié, cette fonctionnalité spécifique a été purement et simplement marquée comme obsolète. Les administrateurs avisés, soucieux de maîtriser leur budget IT et de réaliser des économies sur la gestion des incidents, doivent impérativement proscrire son usage dans leurs configurations actuelles sous peine de lourdes sanctions financières en cas de vol de données.
Au-delà de la suppression de la commande, c’est toute la philosophie d’administration qui est remise en cause. Les équipes d’ingénierie réalisent qu’une option mal implémentée, même dotée de bonnes intentions, devient rapidement une charge technique. Nettoyer les scripts obsolètes est aujourd’hui le meilleur investissement temps-machine que vous puissiez réaliser sur vos serveurs.
L’héritage toxique de la vulnérabilité CVE-2025-32462 tapie dans l’ombre
Si la faille critique monopolise l’attention médiatique, une seconde vulnérabilité tout aussi pernicieuse a été exhumée des entrailles du code source. La CVE-2025-32462 possède une particularité fascinante : elle dormait paisiblement dans les lignes de commande depuis plus de 12 ans ! C’est l’option –host (ou -h), introduite en 2013, qui est cette fois-ci sur le banc des accusés.
À l’origine, cette commande devait innocemment lister les privilèges d’un utilisateur sur une machine distante. Cependant, un bogue profond permet de détourner cet usage noble. Un utilisateur listé dans un fichier sudoers avec une directive d’hôte spécifique peut forcer l’exécution de commandes sur la machine locale, même si cela lui était explicitement interdit dans la politique de sécurité globale de l’entreprise.
| 🛡️ Vulnérabilité | 📊 Score CVSS | 🎯 Option ciblée | ⚠️ Impact direct sur le système |
|---|---|---|---|
| CVE-2025-32463 | 9.3 (Critique) | --chroot (-R) |
Élévation de privilèges Root en local. |
| CVE-2025-32462 | 2.8 (Faible) | --host (-h) |
Exécution de commandes non autorisées sur la machine locale. |
Une faille historique sur les distributions Ubuntu et macOS Sequoia
Le plus déconcertant dans cette affaire réside dans l’étendue des systèmes affectés à travers le monde. Ce ne sont pas seulement les serveurs vieillissants qui tremblent, mais bien des distributions modernes et populaires comme Ubuntu ou Fedora. Plus étonnant encore, le monde d’Apple n’est pas épargné par cette tempête. macOS Sequoia, reposant sur un puissant socle Unix, est également perméable à cette attaque locale via Sudo.
Pour un responsable informatique jonglant constamment avec des budgets serrés, ce type de découverte historique est un véritable casse-tête logistique. La gestion d’un parc de machines hétérogène demande déjà des investissements colossaux au quotidien. Devoir déployer des correctifs en urgence sur l’ensemble des flottes d’ordinateurs représente une fuite de capitaux cachée qu’une simple faille, ignorée pendant plus d’une décennie, vient violemment raviver.
Sécurisez vos infrastructures Linux sans ruiner votre budget IT
Face à ce double péril logiciel, l’urgence est à l’action méthodique et pragmatique. L’Agence américaine de cybersécurité (CISA) a très rapidement tiré la sonnette d’alarme concernant l’exploitation active de ces brèches sur les réseaux mondiaux. La solution la plus économique et la plus robuste consiste à appliquer immédiatement la mise à jour salvatrice. La version Sudo 1.9.17p1 contient les correctifs vitaux pour refermer ces deux portes dérobées.
Il est fascinant de noter que les versions très anciennes dites « legacy » (inférieures ou égales à 1.8.32) sont miraculeusement immunisées contre l’attaque chroot, tout simplement parce que la fonctionnalité n’existait pas à l’époque de leur conception. Toutefois, conserver des systèmes archaïques expose vos entreprises à d’autres vecteurs d’attaque bien plus dévastateurs. La véritable économie d’argent réside dans le maintien d’une hygiène informatique stricte et de mises à jour fluides.
Pour consolider vos défenses à moindre coût, prenez le temps d’auditer vos fichiers de configuration internes. Limitez drastiquement l’usage des options obsolètes et sensibilisez vos équipes techniques aux bonnes pratiques d’administration. Investir quelques heures de maintenance préventive aujourd’hui vous évitera, à coup sûr, de débourser des sommes colossales en récupération de données et en gestion de crise demain. La sécurité n’est en aucun cas une dépense superflue, c’est le coffre-fort de votre pérennité numérique.
Quelles sont les versions de Sudo vulnérables à la faille critique CVE-2025-32463 ?
Cette faille critique touche les versions de Sudo allant de la 1.9.14 à la 1.9.17. Les anciennes versions (dites legacy, inférieures ou égales à la 1.8.32) ne sont pas concernées car elles n’intégraient pas la fonctionnalité chroot incriminée.
Comment se protéger efficacement contre ces deux vulnérabilités locales ?
La mesure la plus fiable et la plus économique consiste à mettre à jour Sudo vers la version 1.9.17p1. Ce correctif comble les deux failles et rend la commande chroot obsolète. Un nettoyage des fichiers sudoers est également fortement recommandé.
L’écosystème Apple est-il concerné par ces brèches de sécurité majeures ?
Absolument. macOS Sequoia étant basé sur une architecture Unix robuste, les chercheurs en cybersécurité ont pu démontrer que ce système d’exploitation était tout à fait vulnérable à ces attaques, au même titre que les distributions Linux majeures.
