Cette semaine, du 18 au 24 mai 2026 : l’actualité de l’open source et Linux qui a retenu l’attention

Cette semaine du 18 au 24 mai 2026 restera marquée par une recrudescence sans précédent de vulnérabilités dans le noyau Linux, accompagnée d'une alerte majeure sur l'écosystème npm. Si les sorties logicielles majeures ont été discrètes, la sécurité a monopolisé l'attention de la communauté open source.

Une pluie de failles d'élévation de privilèges (LPE) sur le noyau

Les chercheurs en sécurité ont révélé pas moins de cinq vulnérabilités d'élévation de privilèges locales (LPE) dans le kernel Linux en seulement trois semaines. Cette série inquiétante inclut Copy Fail (29 avril), Dirty Frag (7 mai), Fragnesia (13 mai), et deux nouvelles failles dévoilées cette semaine :

• PinTheft (CVE liée à RDS) : Divulguée le 19 mai, cette 5e LPE en 21 jours cible le module kernel RDS. Comme le souligne ITsense, ce module n'est activé par défaut que sur Arch Linux, épargnant ainsi les configurations standard de Debian, Ubuntu, RHEL ou AlmaLinux.
• CVE-2026-46333 (ptrace) : Annoncée par Qualys le 20 mai, cette faille logique existe dans le code principal depuis novembre 2016. Située dans la fonction __ptrace_may_access(), elle permet une lecture non autorisée de /etc/shadow, le vol de clés privées SSH ou l'exécution de commandes en tant que root. Selon CybelAngel, des exploits publics fonctionnent déjà sur les installations par défaut de Debian 13, Ubuntu 24.04, Ubuntu 26.04, Fedora 43 et 44.

DirtyDecrypt : un PoC fait son apparition

Autre faille kernel révélée le 20 mai : DirtyDecrypt (CVE-2026-31635). Selon Security Affairs, une preuve de concept (PoC) fonctionnelle est déjà publique. L'origine de cette vulnérabilité remonte au 9 mai 2026, date à laquelle les équipes de Zellic et V12 l'ont signalée. Les mainteneurs du kernel ont indiqué qu'il s'agissait d'un doublon d'un correctif déjà appliqué en amont, mais le NVD (National Vulnerability Database) a tout de même référencé le PoC, rendant la menace bien réelle pour les systèmes non mis à jour.

Attaque « Worm-Grade » sur la chaîne d'approvisionnement npm

Le noyau Linux n'est pas le seul touché. PBX Science a documenté une explosion majeure dans la chaîne d'approvisionnement npm, qualifiée de niveau « ver » (worm-grade). Ce type d'attaque illustre une fois de plus la fragilité des dépendances logicielles dans l'écosystème JavaScript, où une simple compromission de paquet peut se propager de manière fulgurante à travers les projets open source et privés.

Ubuntu 26.04 LTS « Resolute Raccoon » face au feu des exploits

Du côté des sorties, la semaine a été marquée par les premiers retours sur Ubuntu 26.04 LTS (Resolute Raccoon), qualifiée par certains observateurs de version LTS la plus ambitieuse depuis une décennie. Toutefois, cette sortie récente fait également face aux réalités du terrain : les exploits publics de la faille ptrace (CVE-2026-46333) ciblent d'ores et déjà cette version par défaut, rappelant l'importance d'appliquer les correctifs immédiatement après l'installation.

Menaces diverses : MD5, Proton Mail et RSA-2048

En marge de l'actualité Linux, la semaine a mis en lumière d'autres menaces : la démonstration que 60 % des hachages de mots de passe MD5 peuvent être cassés en moins d'une heure avec un seul GPU, le transfert de données Proton Mail au FBI, et des interrogations sur la proximité des ordinateurs quantiques face au chiffrement RSA-2048. Autant de rappels que la sécurité de l'infrastructure open source s'inscrit dans un paysage cryptographique et légal en constante mutation.