Suite à la découverte des failles de sécurité critiques CopyFail et Dirty Frag dans des composants du noyau Linux, un mainteneur a soumis une idée : intégrer un kill switch, c’est-à-dire un bouton d’arrêt d’urgence, au noyau Linux. L’objectif ? Désactiver temporairement des fonctions vulnérables en attendant un correctif officiel.

Une idée en réponse à CopyFail et Dirty Frag

Récemment, deux vulnérabilités critiques affectant le noyau Linux ont été divulguées : Copy Fail et Dirty Frag. Au-delà de la criticité de ces vulnérabilités, ce qui a posé problème, c’est leur divulgation avant la disponibilité des patchs.

Sasha Levin, ingénieur chez NVIDIA et contributeur sur la branche stable du noyau Linux, a proposé l’intégration d’un mécanisme d’urgence, communément appelé “kill switch”. Cette sorte de bouton d’arrêt d’urgence permettrait aux administrateurs de réduire l’exposition de leurs systèmes pendant la période qui sépare la divulgation publique d’une vulnérabilité et le déploiement du correctif de sécurité.

Comment fonctionnerait ce kill switch Linux ?

Sasha Levin aimerait que cette fonctionnalité permette de neutraliser une fonction du noyau considérée comme vulnérable suite à la divulgation d’une faille. Un administrateur disposant de privilèges suffisants pourrait désactiver la fonction en question facilement et l’action sera appliquée via l’interface . Ce qui m’amène à penser que les cybercriminels pourraient aussi détourner l’usage de ce kill switch à leur avantage : cela doit faire partie de la réflexion globale comme un risque potentiel.

Lorsque le kill switch serait actif sur une fonction du noyau, celle-ci renverrait simplement une erreur au lieu de s’exécuter normalement. Dans le contexte de la vulnérabilité Copy Fail (CVE-2026-31431), ceci permettrait de bloquer le composant affecté : .

En pratique, il est donc possible d’activer ce coupe-circuit pour une fonction spécifique en cours d’exécution. Puisque le noyau Linux en contient énormément, il est possible de faire un ciblage bien spécifique sur le ou les composants affectés. Malgré tout, il sera nécessaire d’être vigilant avec les éventuels effets de bord : le bouton d’arrêt d’urgence n’a pas vocation à vérifier si une fonction est utilisée avant de la désactiver, sinon il ne porterait pas ce nom.

“De nombreux problèmes récents liés au noyau concernent des modules que la plupart des installations n’activent que pour répondre aux besoins d’une minorité d’utilisateurs : AF_ALG, ksmbd, nf_tables, vsock, ax25, et autres. Pour la plupart des utilisateurs, le coût lié au fait que « cette famille de sockets cesse de fonctionner pendant une journée » est bien moindre que celui d’utiliser un noyau connu pour être vulnérable jusqu’à ce que le correctif soit déployé.”, argumente Sasha Levin dans sa proposition.

Ce kill switch ne doit pas être confondu avec une mise à jour à chaud : il ne remplace pas le correctif. Il permet seulement d’atténuer la vulnérabilité et les risques associés en attendant l’application du patch. Finalement, une mise à jour du noyau Linux restera indispensable pour corriger la faille.

Qu’en pensez-vous ?