Linux pas si sûr que ça ? Une faille critique découverte dans les dernières versions d’Ubuntu, Fedora
Longtemps perçu comme un bastion de la sécurité, l’écosystème Linux fait face à un nouveau défi. Des chercheurs en cybersécurité ont démontré une méthode permettant de prendre le contrôle total d’un système, même lorsque celui-ci est protégé par un chiffrement de disque. Cette technique, affectant notamment les versions récentes d’Ubuntu, soulève des questions importantes sur l’inviolabilité des protections logicielles face à une attaque physique.
L’initramfs : le maillon faible de la chaîne de sécurité
Le point de départ de l’attaque est d’une simplicité déconcertante. Un attaquant ayant un accès physique à un ordinateur portable verrouillé peut intentionnellement saisir un mot de passe de déchiffrement erroné à plusieurs reprises. Sur certains systèmes comme Ubuntu 25.04, cette action ne verrouille pas la machine mais ouvre un debug shell, une interface de dépannage de bas niveau. Cette console, conçue pour la maintenance et la récupération de système, devient ici une porte d’entrée pour compromettre la sécurité de l’appareil. Elle offre des privilèges suffisants pour interagir avec les fichiers de démarrage essentiels, contournant ainsi les premières lignes de défense de l’ordinateur.
Le véritable cœur de la vulnérabilité réside dans l’initramfs (Initial RAM File System). Il s’agit d’un système de fichiers temporaire chargé en mémoire vive au tout début du processus de démarrage, avant même que le système d’exploitation principal ne soit lancé. Son rôle est de préparer l’environnement nécessaire pour monter le vrai système de fichiers, y compris le déchiffrement des disques.
Le problème fondamental est que, si le noyau Linux et ses modules sont protégés par des signatures cryptographiques via le Secure Boot, l’initramfs lui-même ne l’est généralement pas. Un attaquant peut donc le décompresser, y injecter un code malveillant comme un script pour enregistrer les frappes du clavier (keylogger) ou exfiltrer des données puis le recompresser sans déclencher la moindre alerte de sécurité. Au prochain démarrage, lorsque l’utilisateur légitime saisira son mot de passe, le script malveillant s’exécutera avec des privilèges élevés.
Un vecteur d’attaque connu, mais un angle mort exploité
Ce type d’attaque n’est pas nouveau et porte un nom dans le jargon de la sécurité : l’attaque de la « evil maid » (la femme de chambre malveillante). Le scénario suppose qu’un attaquant peut accéder physiquement à l’appareil d’une cible lorsque celle-ci est absente, par exemple dans une chambre d’hôtel.
Si le concept est ancien, cette nouvelle méthode le rend particulièrement efficace. Elle ne nécessite pas d’ouvrir l’ordinateur ou de manipuler directement le disque dur. Un simple accès à un port USB et au clavier suffit pour mener à bien l’opération à l’aide d’une clé USB préparée à l’avance.
Les chercheurs soulignent que cette faille relève moins d’un bug classique que d’un oubli de conception. Le debug shell est une fonctionnalité utile pour les administrateurs système, mais sa présence dans un environnement non sécurisé crée un risque majeur. Les guides de renforcement de la sécurité se concentrent souvent sur des défenses logicielles et des configurations complexes, laissant parfois de côté ce type de menace physique. La vulnérabilité a été démontrée sur Ubuntu 25.04 et Fedora 42, mais d’autres distributions pourraient être concernées.
Comment se protéger ?
Heureusement, la plupart des utilisateurs n’ont pas à céder à la panique. L’attaque demande une préparation et une intention ciblée, la rendant peu probable pour le grand public. Pour les utilisateurs concernés, notamment les professionnels manipulant des données sensibles, une parade existe et s’avère relativement simple à mettre en œuvre.
Il est possible de modifier les paramètres du noyau Linux pour changer le comportement du système en cas d’échec de saisie du mot de passe. Au lieu d’ouvrir un debug shell, l’ordinateur peut être configuré pour s’éteindre ou redémarrer automatiquement, fermant ainsi la porte à toute tentative de manipulation.
Cet épisode ne signifie pas que le chiffrement complet du disque ou les protections comme le Secure Boot sont inutiles. Au contraire, il montre que la sécurité est une construction en couches où chaque élément compte. Canonical, l’éditeur d’Ubuntu, continue d’ailleurs de renforcer la sécurité de sa distribution, notamment avec l’intégration progressive du chiffrement matériel adossé à un Trusted Platform Module (TPM).