A threat group known as Velvet Ant successfully maintained a presence within a large organization's isolated network for ten years by hijacking the authentication stack. The intrusion began in 2016 when the actors compromised internet-facing systems before pivoting into an air-gapped environment with no direct external connection. By establishing a remote execution path through chained Nginx and FastCGI modifications, the attackers bypassed traditional network segregation without requiring direct internet access.

Source

Si vous tournez sous Arch Linux et que vous piochez vos paquets dans l'AUR, lâchez ce que vous faites 2 minutes et lisez mon article. Car plus de 400 paquets de l'Arch User Repository ont été vérolés ce 11 juin, et le truc qu'ils embarquent ne rigole pas du tout. En effet, des chercheurs de Sonatype ont repéré une campagne baptisée Atomic Arch où un seul attaquant a réussi à glisser un stealer (un voleur d'identifiants quoi) dans des centaines de paquets d'un coup.

Mais bonne nouvelle avant de paniquer quand même, les dépôts officiels d'Arch (core, extra, multilib) ne sont pas concernés. C'est l'AUR, et uniquement l'AUR.

Si vous avez installé ou mis à jour un paquet AUR ces derniers jours, vous devez donc vérifier si vous n'êtes pas infecté. Des noms comme alvr, gnome-randr-rust ou ipfs-desktop-bin font partie de la liste, et elle est sacrément longue. Le signe qui doit vous mettre la puce à l'oreille, c'est par exemple un paquet qui n'a rien à voir avec du JavaScript et qui se mettrait pourtant à lancer un npm install durant son installation.

Pour sortir la liste de tout ce qui vient de l'AUR sur votre machine, un petit pacman -Qm fera le job, et le forum de CachyOS propose également un script qui compare vos paquets à la liste des vérolés connus. Méfiez-vous quand même, car ce script repère juste les noms de paquets piégés, et ne vérifie pas l'intégrité de votre système. Un résultat propre veut dire qu'aucun paquet connu n'est installé chez vous, mais pas que vous êtes tiré d'affaire, alors on reste concentré.

Alors comment ce malware s'est retrouvé dans autant de paquets ?

Eh bien l'attaquant n'a même pas eu besoin de pirater quoi que ce soit puisque l'AUR permet à n'importe qui "d'adopter" les paquets orphelins, c'est-à-dire ceux que leur mainteneur d'origine a laissés tomber. Il a donc récupéré la propriété de centaines de ces paquets abandonnés via la procédure normale, puis modifié leur PKGBUILD pour qu'à l'installation, un hook télécharge en douce un paquet npm piégé du genre atomic-lockfile. Ce paquet déploie ensuite un binaire baptisé deps, et ce deps, c'est une vraie saloperie.

Parce que ce deps, comme je vous le disais, c'est un voleur d'identifiants mais vraiment taillé pour cibler les développeurs. Dans le dos de la victime, il récupère vos clés SSH privées, vos tokens GitHub, vos identifiants npm, Docker et Podman, vos tokens HashiCorp Vault, les cookies et mots de passe de vos navigateurs, vos sessions Slack, Discord ou Telegram, vos configs VPN et même tout votre historique de commandes shell. En clair, toutes les clés de votre vie de dev qui, une fois dans la nature, ouvrent grand la porte vers d'autres systèmes.

Et si vous avez lancé le paquet en root, il installe en prime un rootkit eBPF qui se planque carrément dans le noyau pour masquer ses processus. Le fonctionnement même de ce truc fait alors qu'il est quasi impossible de détecter à l'œil nu si on est infecté ou pas. On est sur la même logique que le ver Shai-Hulud planqué dans des paquets , sauf qu'ici l'échelle a pris une autre dimension.

Alors que faire pour se protéger ?

Eh bien si vous avez le moindre doute, partez du principe que la machine est compromise, surtout si le paquet a tourné avec les droits root. Et supprimer le paquet ne suffira pas car le rootkit, lui, reste planté.

Donc on fait comme d'hab, on régénère tous ses secrets, nouvelles clés SSH, révocation et régénération des tokens GitHub, npm, Docker et Vault, changement des mots de passe stockés dans le navigateur et compagnie... Et pour la suite, comme d'hab, faites attention à ce que vous installez et prenez l'habitude de lire les PKGBUILD avant de valider, parce qu'un script post-install qui fait autre chose qu'un simple echo, ça doit vous faire tiquer direct.

Quoi qu'il en soit, l'AUR n'a jamais été audité, c'est même l'un des principes du truc et tout le monde le sait... mais 400 paquets piégés d'un coup avec un rootkit qui vise vos accès, ça change fortement l'échelle du problème.

Bref, vérifiez vos paquets et faites tourner vos secrets aussi bien que vous faites tourner les serviettes quand c'est le jour du beaujolais au taf !

Et un grand merci à Maximilien pour le lien !

Source

Homebrew 6.0.0 introduces a new tap trust security mechanism that requires explicit user approval before running code from third-party repositories. This update significantly reduces the risk of executing malicious Ruby scripts by flagging untrusted sources before their code is evaluated. Additionally, the release brings Linux sandboxing via Bubblewrap to align with macOS security standards, isolating build and test phases from the rest of the system.

Source

Une simple erreur de syntaxe, réduite à un unique caractère dans le code du noyau Linux, est à l'origine d'une faille de sécurité : CVE-2026-23111.

Le post Linux : une faille permet de devenir root à cause d’un unique caractère a été publié sur IT-Connect.

Guide complet pour maîtriser la gestion des paquets avec APT sous Linux : apt update, install, upgrade, remove et toutes les commandes essentielles sous Debian.

Le post Maîtriser la gestion des paquets avec APT sous Linux a été publié sur IT-Connect.

Mauvaise surprise pour les utilisateurs d'Asahi Linux, le projet qui fait tourner Linux nativement sur les Mac équipés de puces Apple Silicon (les fameuses M1, M2 et suivantes). La première beta développeur de macOS 27, alias "Golden Gate", distribuée le 8 juin juste après la keynote de la WWDC (la grande conférence annuelle d'Apple), fait disparaître leur partition Linux du menu de démarrage.

Le coupable est un changement dans la façon dont le boot picker (l'écran qui permet de choisir sur quel système démarrer à l'allumage du Mac) et l'application Disque de démarrage détectent les volumes jugés valides. Avec macOS 27, la partition Asahi, c'est à dire la zone du disque où Linux est installé, n'est plus reconnue comme un système amorçable.

Elle est toujours là, intacte, avec toutes vos données. Sauf que voilà. Impossible de démarrer dessus.

L'équipe du projet a publié un avertissement très clair sur Mastodon : ne mettez PAS à jour vers macOS 27 si vous utilisez Asahi. Et pour éviter les accidents, l'installateur a été modifié pour refuser de s'exécuter sur une machine déjà passée sous la nouvelle beta. Ceux qui passent outre sont prévenus, il n'y aura pas de support.

Personne ne crie au complot pour autant. L'équipe Asahi penche pour une modification accidentelle plutôt que pour une volonté délibérée d'Apple de chasser Linux de ses machines, et un rapport de bug a été déposé sous la référence FB22994760.

D'autant que la régression dépasse le seul cas de Linux : des testeurs qui gardent une ancienne version de macOS sur une partition séparée se retrouvent avec le même sélecteur amnésique. C'est donc toute la mécanique du multi-boot qui semble cassée dans cette première beta, pas une attaque ciblée contre Linux.

Une parade existe d'ailleurs pour les plus téméraires. Si une copie de macOS 26 traîne sur un second volume, il suffit de la définir comme disque de démarrage par défaut : le sélecteur se lance alors depuis cette partition, où la logique de détection fonctionne encore, et Asahi réapparaît comme par magie.

Pour rappel, Asahi Linux est né d'un travail de rétro-ingénierie assez dingue. Apple ne documente ni la séquence de démarrage de ses machines, ni le fonctionnement de ses puces graphiques, et l'équipe a tout reconstruit à la main pour aboutir à Fedora Asahi Remix, la distribution de référence quand on veut du Linux sur un Mac récent. Le projet a traversé une année 2025 agitée, avec le départ de son fondateur Hector Martin, mais c'est toujours la meilleure option pour faire vivre Linux sur ces machines.

La version finale de macOS 27 n'arrivera qu'à l'automne, ce qui laisse plusieurs mois à Apple pour corriger le tir. Le bug est signalé, la balle est dans le camp de Cupertino.

Bref, dépendre d'un sélecteur de démarrage qu'Apple peut casser à chaque beta, c'est toute la fragilité du Linux sur Mac résumée en une mise à jour.

Source : The Register

The Linux Foundation has introduced the OpenSharing Project, a vendor-neutral protocol designed for the secure exchange of AI assets and data between different organizations. Contributed by Databricks, this initiative builds upon the existing Delta Sharing protocol to include agentic AI, AI models, and unstructured data. It provides a unified framework that allows for the sharing of AI skills and models across diverse platforms without relying on proprietary marketplaces.

Source

Linux Lite 8.0 has been released, rebasing the operating system on Ubuntu 26.04 and updating its custom helper applications to GTK4. This version reduces the installation footprint by 410 MB compared to its predecessor and continues to exclude Snap and Flatpak by default. The distribution utilizes the Xfce 4.20 desktop environment to provide a lightweight experience for hardware with limited resources.

Source

Proton travaille actuellement sur un client Proton Drive officiel pour Linux, basé sur le nouveau SDK conçu pour améliorer les performances globales du Drive.

Le post Proton prépare un client Proton Drive natif pour Linux a été publié sur IT-Connect.

Quand on est habitué à Linux et qu'on se retrouve avec un Mac, même si c'est une base unix, c'est déroutant. Heureusement, Apple est de plus en plus ouvert au monde du libre et vient de publier la version 1.0 de Container , avec dedans des "container machines" qui ressemblent furieusement à WSL. Et ça nous permet comme ça d'avoir le meilleur des deux mondes : un macOS pour le quotidien, et un vrai Linux pour vos folles bidouilles.

Vous vous souvenez forcément de mon article où je vous présentais Apple Container , cet outil écrit en Swift qui fait tourner des conteneurs Linux dans des petites machines virtuelles. Et bien un an plus tard, le projet passe en 1.0, pile pour la WWDC, et la grosse nouveauté c'est donc ce mode "machine".

Le CLI container en action, sobre comme un terminal qui bosse ( Source )

Il s'agit d'un environnement qui vous permet de faire tourner de vraies distributions Linux comme Ubuntu, Debian ou Alpine, et pas juste un conteneur modelé sur une application. La machine lance le système d'init de l'image, donc un systemctl start postgresql fonctionnera comme sur un vrai serveur.

Et à la reconnexion, à partir du même terminal ou d'un autre, l'état de la machine n'est pas perdu. Surtout, elle mappe automatiquement votre utilisateur et votre répertoire home. Votre repo vit ainsi dans le $HOME de macOS, du coup vous éditez avec votre IDE côté Mac et vous compilez côté Linux, sans étape de copie entre les 2.

Pour la prise en main, entrez les commandes suivantes en prenant soin de remplacer alpine par la distrib de votre choix :

container machine create alpine:latest --name dev
container machine run -n dev whoami # votre user, pas root
container machine run -n dev # shell interactif

Ensuite, pour aller plus loin, vous pouvez le faire via un terminal en choisissant l'image que vous voulez ou concevoir votre propre image : n'importe quelle image Linux avec un /sbin/init fait l'affaire.

Après vous l'aurez compris parce que vous êtes les plus malins, il vous faut un Mac Apple silicon, et si ça se lance encore sur macOS 15, c'est avec des limitations et sans filet car les mainteneurs ne s'occupent actuellement que des bugs reproductibles sur macOS 26. Et migrer toute votre stack dev dessus aujourd'hui, c'est ce que je ne vous recommande pas sachant que c'est tout frais...

Mais ainsi, grâce à ces machines, plus besoin de choisir entre un Mac et une distribution Linux. Après est-ce que ça enterre OrbStack et Colima ? Pas tout de suite je pense, car ces outils tournent depuis des années sur des Mac Intel et des macOS pas tout neufs, alors que là, Apple exige sa puce maison.

Ah et côté x86, container fait aussi tourner des images amd64 via Rosetta, alors c'est le bonheur ! Et si le sujet vous branche, j'avais aussi causé de Mocker , un clone Docker natif pour Mac, et de WSL côté Windows si pour vous Mac c'est pas encore un projet ^^.

Bref, l'installeur signé est sur la page des releases , vous faites un petit container system start, et hop hop hop, à vous le kif du Linux sur votre petit Mac !

A high-severity vulnerability tracked as CVE-2026-53111 stems from a single incorrect exclamation mark within the Linux kernel code. This logic error affects how verdict maps are handled during memory deletion and restoration processes. The flaw allows the reference counter of a chain to be decremented incorrectly, leading to a use-after-free condition.

Source

Linux kernel contributors are now utilizing AI-assisted coding to maintain and refactor legacy hardware drivers. Recent updates to the R600 Gallium3D driver involved dozens of commits generated with the help of GitHub Copilot. These efforts specifically target the shader compiler code to ensure continued functionality for AMD hardware released between 2007 and 2010.

Source

Oliver Sieber, un chercheur de chez Exodus Intelligence, vient de publier l'exploit complet d'une faille qui tient dans un seul caractère. C'est la CVE-2026-23111, planquée dans nf_tables, c'est à dire au bout du noyau Linux qui filtre les paquets réseau. Un bug discret donc, qui transforme un compte tout pourri, sans le moindre privilège, en compte root sur la machine... et qui vous fait sortir d'un conteneur au passage.

Le scénario, vous le connaissez si vous traînez ici depuis un moment. Un utilisateur qui dispose d'un compte sans droit particulier sur une machine Linux (y compris parce qu'il a exploité une autre faille avant, dans une appli web par exemple) lance l'exploit, et se retrouve avec les pleins pouvoirs. Pas de vecteur distant, rien à cliquer : c'est l'arme qu'on dégaine une fois le pied dans la porte. Que ce soit un shell avec des droits limités, un conteneur compromis, un compte de service... tout y passe et hop, root sur l'hôte !

Le bug lui-même, c'est ce qu'on appelle un use-after-free, c'est à dire que le noyau réutilise un bout de mémoire qu'il a déjà libéré, et forcément ça part en vrille. Exodus a titré son analyse complète "Off By !", un clin d'œil au classique off-by-one des développeurs, sauf qu'ici le coupable c'est un test inversé. Un caractère de trop, une condition qui dit l'inverse de ce qu'elle devrait, et voilà. Et le correctif, lui, tient en une seule ligne.

Le fameux caractère : le ! qui inversait le test dans nft_map_catchall_activate(). Le correctif le retire, et c'est tout (commit 8fdb05de).

La faille a d'ailleurs été reproduite deux fois, par deux équipes qui ne se sont pas concertées. Exodus l'a validé sur Debian Bookworm, Debian Trixie, Ubuntu 22.04 et 24.04. FuzzingLabs avait sorti sa propre version dès avril, par un chemin complètement différent, et l'avait fait tourner sur RHEL 10 juste avant le Pwn2Own de Berlin. Bref, ça marche, c'est bien documenté, et c'est public.

Mais le pire, c'est le calendrier de tout ce merdier puisque le patch a été mis à dispo le 5 février. Ensuite, y'a eu l'exploit de FuzzingLabs publié le 16 avril, suivi d'un write-up détaillé d'Exodus le 8 juin. Autrement dit, ça fait des mois que le correctif existe et des semaines que le code d'exploitation traîne dans la nature.

La seule chose qui vous sépare donc d'un compte root offert à n'importe qui, c'est d'avoir mis à jour ou pas.

Et cette faille s'ajoute à une sacrée série de failles root-local sur Linux ce printemps. Y'a eu Copy Fail , y'a eu Dirty Frag et sa variante Fragnesia ... à chaque fois le même refrain, un compte sans droit qui finit root sur une install standard. C'est devenu presque routinier, et Synacktiv pointe une raison plutôt pertinente en nous expliquant que c'est à cause (ou grâce ^^) aux outils d'IA qui décortiquent les patchs pour en sortir un exploit rapidos, qui marche direct avant même que la correction soit déployée partout.

Du coup, qu'est-ce que vous devez faire ?

Hé bien le plus simple d'abord, c'est de mettre à jour le noyau et vous rebootez. Ubuntu a corrigé 22.04, 24.04 et 25.10, Debian a patché Bookworm et Trixie (avec un backport en 6.1 pour Bullseye), et Red Hat, SUSE et Amazon Linux ont suivi. Comme la version corrigée exacte dépend de votre distrib, jetez donc un œil à l'advisory qui correspond à la vôtre.

Si vous gérez une machine où tournent des utilisateurs ou des workloads pas franchement de confiance, vous pouvez également couper le chemin d'attaque sans attendre le patch. La faille a besoin des user namespaces non privilégiés, un mécanisme qui laisse un process lambda se bricoler son propre bac à sable avec des droits root à l'intérieur.

Et nf_tables comme ces namespaces, sur la plupart des desktops et pas mal de serveurs, c'est actif par défaut, donc oui, sans le patch vous êtes probablement exposé.

Pour les désactiver, le plus universel c'est user.max_user_namespaces=0 : un sysctl -w user.max_user_namespaces=0 pour tout de suite, et la même ligne dans un fichier genre /etc/sysctl.d/99-userns.conf pour que ça tienne au reboot.

Ça marche sur toutes les distros mais c'est radical, ça coupe tous les user namespaces, même ceux de root. Sur Debian et les vieilles Ubuntu, t'as plus fin avec kernel.unprivileged_userns_clone=0 qui ne vise que les non-privilégiés. Et sur Ubuntu 24.04, bonne nouvelle, c'est déjà restreint par défaut via AppArmor. Attention quand même, ça peut casser des trucs qui s'appuient dessus, genre le bac à sable de Chrome ou Flatpak.

À faire en connaissance de cause, donc.

La parade en vrai : une fois les user namespaces non privilégiés coupés, un compte lambda qui tente d'en créer un (le prérequis de l'exploit) se fait jeter sur un "No space left on device".

Après la bonne nouvelle, c'est que d'après les chercheurs, aucune exploitation dans la nature pour cette faille précise n'a été constaté à ce jour. Après comme sa cousine Copy Fail, elle, a déjà atterri au catalogue des failles activement exploitées de la CISA, ne traînez pas trop. Bref, comme d'hab padpanik, vous mettez à jour, vous rebootez, et on n'en parle plus.

Source

Canonical has unveiled Workshop, a new open-source project designed to provide sandboxed development environments for Large Language Model agents. The tool utilizes LXD containers and snap packaging to isolate AI agents from sensitive personal data and root system access. This architecture allows users to run untrusted code from the internet while still granting the AI necessary access to local GPUs and specific files.

Source

Microsoft annonce Coreutils pour Windows, un nouvel ensemble d’outils en ligne de commande inspirés de Linux. Il est disponible via WinGet et GitHub.

Cet article Coreutils, Windows accueille enfin les commandes Linux a été publié en premier par GinjFo.

The development of Linux kernel 7.1 has reached its final testing phase with the release of the seventh candidate. Stabilization is proceeding according to schedule, and the final version is expected to be available next week. Recent updates have focused heavily on graphics subsystems, networking fixes, and various driver improvements.

Source

A sophisticated cyber espionage group known as VerdantBamboo is targeting Linux-based appliances and managed service providers to gain persistent network access. The threat actor utilizes a specialized BSD variant of the BRICKSTORM backdoor to compromise firewalls and storage synchronization systems. These attackers specifically focus on hardware that typically cannot run endpoint detection and response software to avoid discovery.

Source

Rsync : une mise à jour perturbe les sauvegardes incrémentales, révélant des commits co-écrits avec l'IA Claude d'Anthropic. Qu'en est-il ?

Le post Coup de sang sur GitHub autour de Rsync et de l’utilisation de l’IA Claude a été publié sur IT-Connect.

Des apps de todo qui se réclament de la mouvance GTD , y'en a des centaines ! Mais des apps qui appliquent vraiment la méthode de David Allen de bout en bout, et qui en plus sont libres, locales, et qui tournent sur tous les OS, y'en a beaucoup moins.

Le développeur Dongdongbh en a sorti une nommée Mindwtr (prononcez "mind water", l'esprit clair comme l'eau... ^^), et je pense que ça va vous intéresser.

Alors comme d'hab, pour ceux qui débarquent (et ils sont légion, lol), l'idée de GTD c'est que votre cerveau est fait pour avoir des idées, mais pas fait pour les stocker. Donc le concept c'est de vider tout ce qui vous trotte dans la tête, de le trier, de l'organiser, et comme ça, vous saurez ensuite en permanence par quoi attaquer vos journées de ministre.

Capturer, clarifier, organiser, réviser, agir, ça se passe en 5 étapes, que Mindwtr suit à la lettre. Une tâche se note en moins de 2 secondes via un raccourci clavier ou l'icône système, même en pleine réunion. Ensuite une "inbox" vous permet de faire le tri (avec un coup de main d'une IA si vous voulez), puis tout s'organise en projets et contextes, une revue hebdo garde le système vivant, et enfin une vue Focus vous sort juste les prochaines actions selon l'endroit où vous êtes.