Linux Mint a publié une nouvelle version de sa distribution populaire : la 22.2, nom de code « Zara ». Cette mise à jour offre un support à long terme jusqu'en 2029 et plusieurs nouvelles fonctionnalités pratiques qui pourraient plaire aux utilisateurs en quête d'une alternative à Windows. Le principal changement réside dans la prise en charge native des lecteurs d'empreintes digitales grâce à la nouvelle application Fingwit. Auparavant, les utilisateurs devaient configurer manuellement des outils externes. Désormais, les empreintes digitales peuvent être utilisées pour se connecter, déverrouiller l'économiseur d'écran, exécuter des commandes sudo et lancer des applications d'administration. Une autre fonctionnalité intéressante est la possibilité de synchroniser les notes autocollantes avec les coins arrondis des appareils Android grâce à l'application StyncyNotes. La nouvelle version des notes est également compatible avec le protocole Wayland.

Le système a également bénéficié d'un écran de connexion actualisé avec des avatars d'utilisateurs et un effet de flou d'arrière-plan. Le gestionnaire de mises à jour suggère désormais de redémarrer le système si nécessaire, et le gestionnaire de logiciels a bénéficié d'améliorations visuelles. Linux Mint 22.2 pourrait s'avérer une option intéressante pour les utilisateurs d'anciens ordinateurs Windows 10, dont Microsoft cessera bientôt le support. La configuration minimale requise est de 2 à 4 Go de RAM, 20 Go d'espace disque et une résolution de 1024 x 768. La mise à niveau depuis les versions antérieures de Mint 22 est très simple grâce au gestionnaire de mises à jour intégré. Les nouveaux utilisateurs peuvent télécharger des images ISO en trois versions : Cinnamon 6.4, Xfce 4.18 et MATE 1.26.

Canonical a annoncé le déploiement officiel d'une nouvelle version de l'utilitaire sudo sur les systèmes Ubuntu. La commande classique, familière aux administrateurs depuis des décennies, a été remplacée par un équivalent moderne écrit en Rust. Cette décision fait partie d'un plan visant à moderniser les éléments clés de la distribution, et la première étape a été l'inclusion de la version 0.2.8 de sudo-rs comme valeur par défaut dans les dernières images quotidiennes d'Ubuntu 25.10 Questing Quokka. Le développement de sudo-rs se poursuit depuis des mois, l'accent étant mis sur l'implémentation des fonctionnalités nécessaires avant le gel du code de la version 25.10. La version actuelle de l'outil prend désormais en charge le changement de profil AppArmor en mode NOEXEC, permettant une gestion plus souple et plus précise des restrictions de sécurité. De plus, il est entièrement compatible avec les noyaux Linux antérieurs à la version 5.9, garantissant un fonctionnement fluide sur un large éventail d'appareils et d'environnements. Parallèlement à l'ajout de nouvelles fonctionnalités, l'équipe de développement a procédé à un nettoyage complet du code et de la documentation. Cela a notamment consisté à supprimer les informations relatives aux indicateurs obsolètes et non implémentés, tels que « -I », « -q » et « -s ».

Canonical confirme que la prochaine version, Ubuntu 26.04 LTS, effectuera la transition complète vers sudo-rs. La version 26.10, quant à elle, vise à faire de cette nouvelle implémentation la seule variante disponible de la commande sudo. À cette fin, l'équipe prépare un fichier de configuration /etc/sudoers dédié et prévoit de signaler officiellement un conflit de paquets avec l'ancien sudo afin d'exclure la présence simultanée des deux outils sur le système. Les utilisateurs testant quotidiennement des images système ont toujours la possibilité de revenir à la version traditionnelle de sudo. L'ancien outil, ainsi que les commandes supplémentaires visudo et sudoreplay, sont conservés dans les dépôts. La rétrogradation vers la version précédente est possible grâce aux mécanismes système standards tels que update-alternatives. L'une des fonctionnalités manquantes de sudo-rs est la fonctionnalité « objections sudo », qui génère des commentaires humoristiques en cas de saisie incorrecte d'un mot de passe, une fonctionnalité que certains utilisateurs connaissent bien. Cependant, Canonical suggère qu'un effet similaire peut être obtenu avec le module pam-insults, compatible avec de nombreux mécanismes d'authentification, y compris les écrans de connexion.

Le support du noyau Linux 6.15 a officiellement pris fin le week-end dernier. La dernière mise à jour de maintenance, la 6.15.11, a été publiée par Greg Kroah-Hartman, l'un des principaux mainteneurs du noyau Linux. Cette décision de mettre fin au cycle de publication était prévisible, car la série 6.15 n'a jamais fait partie de la branche de support à long terme . La version 6.15, lancée le 25 mai 2025, a apporté de nombreuses nouvelles fonctionnalités. Parmi les changements les plus importants : l'intégration de Rust dans les modules hrtimer et ARMv7, un nouveau paramètre de démarrage setcpuid= pour les processeurs x86, la prise en charge de sched_ext pour le comptage et le reporting d'événements internes, de nombreuses améliorations pour les PMU Intel et AMD, la prise en charge de la virtualisation imbriquée VGICv3 sur l'architecture ARM et l'émulation FEAT_PMUv3 pour les puces Apple Silicon. Les utilisateurs sont invités à migrer vers la nouvelle version du noyau – Linux 6.16 – dès que possible. Cette version, lancée le 28 juillet 2025, apporte de nouvelles innovations. Le nouveau système inclut la prise en charge initiale des extensions Intel Trusted Domain, d'Intel APX (Advanced Performance Extensions), des mécanismes de déchargement USB pour les périphériques audio et la possibilité d'envoyer des vidages de mémoire via les sockets AF_UNIX. De plus, le réglage automatique des politiques d'allocation de mémoire avec un mécanisme d'entrelacement est désormais disponible, optimisant les performances du système dans divers environnements.

Le nouveau noyau a commencé à apparaître dans les dépôts de nombreuses distributions populaires. Il est actuellement disponible pour les utilisateurs d'openSUSE Tumbleweed et d'Arch Linux, entre autres, et a également été implémenté sur des systèmes basés sur Slackware comme PorteuX 2.2. Les utilisateurs de Fedora Linux suivront bientôt. Il est toutefois important de rappeler que le noyau Linux 6.16, comme son prédécesseur, ne bénéficie pas d'un cycle de support à long terme. Cela signifie que les mises à jour et les correctifs de sécurité ne seront disponibles que pendant quelques mois. Les utilisateurs préférant une solution plus stable devraient envisager l'installation d'un noyau LTS. Les versions disponibles incluent Linux 6.12 LTS, devenu le noyau par défaut de Debian 13 « Trixie », ainsi que Linux 6.6 LTS et Linux 6.1 LTS, toujours pris en charge.

Le support de Windows 10 prendra fin le 14 octobre 2025. Alors que Microsoft encourage les utilisateurs de ce système d'exploitation abandonné à migrer vers Windows 11, la communauté Linux saisit désormais l'opportunité. L'organisation KDE a donc lancé une campagne ciblant spécifiquement les utilisateurs de Windows 10 dont les ordinateurs ne répondent pas à la configuration requise. Dans un langage parfois radical, KDE promeut le passage à Linux avec l'environnement de bureau Plasma. Le message de KDE est sans équivoque : après la fin du support, les ordinateurs Windows 10 seront « officiellement obsolètes ». L'organisation dresse un sombre tableau de failles de sécurité non corrigées qui pourraient accroître les risques. KDE prévient également que les nouvelles versions des applications pourraient ne plus fonctionner. L'organisation suggère alors de conserver le matériel existant et d'installer Linux, en particulier l'environnement de bureau Plasma, qui fonctionnerait encore correctement même sur des ordinateurs vieux de dix ans. KDE accuse même Microsoft de « chantage technique », affirmant que l'entreprise bloque de fait les mises à jour vers les nouvelles versions de Windows, sauf achat de nouveau matériel. L'impact environnemental des PC mis au rebut est également abordé.

Pour rendre la transition plus attrayante, KDE met l'accent sur la similitude de l'interface Plasma avec Windows. Le menu Démarrer et l'espace de travail sont conçus pour être familiers aux utilisateurs Windows, tout en offrant de nombreuses options de personnalisation. Projet open source d'une organisation à but non lucratif, Plasma est également gratuit. Parmi les autres avantages, citons la possibilité de disposer de plusieurs bureaux virtuels et du gestionnaire de fichiers Dolphin avec des outils de connexion intégrés pour les serveurs et les services cloud. KDE admet que le passage à Linux nécessitera quelques ajustements et recommande aux nouveaux utilisateurs de se tourner vers la communauté. Cependant, le ton agressif de la campagne ne fait pas l'unanimité. Certains médias soulignent que les ordinateurs Windows 10 continueront de fonctionner après la fin du support ; seules les mises à jour de sécurité seront interrompues. Microsoft propose également des mises à jour de sécurité payantes et prolongées pour une année supplémentaire.

Ubuntu est sur le point d'abandonner les utilitaires de base GNU et de passer à Rust , un mouvement qui commencera avec la version 25.10 et qui se poursuivra dans Ubuntu 26.04 LTS . Mais qu'est-ce que cela signifie pour la distribution la plus populaire et donc pour le monde Linux ? Ubuntu (et presque toutes les distributions Linux) ont toujours utilisé par défaut GNU Coreutils , les outils de base qui ont défini l'expérience de type Unix pendant des décennies. Les utilitaires GNU ont été introduits dans Linux en 1991 et même si beaucoup de gens ne les verront peut-être jamais puisqu'ils utilisent un bureau graphique, ils fournissent ces commandes essentielles, ls, cp, mv, qui, combinées avec le noyau Linux, vous permettent d'utiliser le système d'exploitation. Or, dans un article publié il y a quelques jours, Jon Seager, vice-président de l'ingénierie chez Canonical, a annoncé le passage à Rust , un langage de programmation de plus en plus populaire parmi les développeurs, et dont on a déjà vu des traces dans d'autres distributions comme Pop!_OS et directement dans le noyau Linux (non sans susciter la controverse). À partir d'Ubuntu 25.10, nous passerons à uutils, la suite d'utilitaires écrits en Rust qui comprend Coreutils, findutils et diffutils. Mais pourquoi ce changement ? Le passage à Rust est souvent cité comme une amélioration des performances, mais la motivation plus profonde réside dans les garanties de sécurité offertes par le langage. Le système de type Rust encourage en fait un code intrinsèquement plus sécurisé et résilient , réduisant ainsi le risque de vulnérabilités liées à la mémoire .

Il y a deux problèmes : la compatibilité et le fait que les utilitaires de base de GNU sont basés sur une suite de tests avec des décennies d'expérience. La suite uutils est actuellement « activement testée par rapport à la suite de tests GNU coreutils » et réussit environ 500 des 600 tests GNU. Il ne fait aucun doute que ce score est appelé à s'améliorer, mais pour rendre la transition plus fluide et réduire les risques, un nouvel utilitaire de ligne de commande appelé oxidizr a été créé , qui permet aux utilisateurs de basculer plus facilement entre les outils traditionnels et ceux basés sur Rust . Le nouvel outil s'articule autour du concept d '« Expériences », où chaque expérience correspond à un package alternatif basé sur Rust (tel que « rust-coreutils » ou « sudo-rs »). Les utilisateurs peuvent activer ou désactiver des expériences individuelles à volonté et, si des problèmes de compatibilité surviennent, revenir aux « anciens » utilitaires. Il y a également des discussions dans la communauté selon lesquelles le passage aux utilitaires Rust implique également le passage d'une licence GPL 3 à une licence MIT beaucoup plus permissive. Selon certains commentateurs, cette décision semble s’inscrire dans la tendance actuelle de dépréciation des logiciels GPL au profit d’alternatives avec des licences plus permissives . Un choix justifié sous prétexte de « moderniser », mais dont l'impact réel semble être de forcer le logiciel libre à entrer dans des écosystèmes propriétaires, avec pour résultat d'affaiblir les principes qui ont fait de Linux ce qu'il est aujourd'hui.

Bien sûr, les utilisateurs ne se soucient pas vraiment des problèmes de licence, et il ne s'agit probablement pas spécifiquement de Rust, qui fait également son chemin vers Android, mais plutôt de la façon dont il est implémenté. Et cela, selon beaucoup, pourrait pousser de plus en plus d'utilisateurs à s'éloigner de Debian (sur lequel Ubuntu est basé) vers d'autres composants, comme Busybox par exemple.

Vous ne l’avez peut-être pas remarqué, mais le Pixel Drop de mars , sorti il ​​y a quelques jours à peine pour Pixel 6 et versions ultérieures, inclut l’ application Linux Terminal , qui vous permet d’exécuter Debian dans une machine virtuelle sur votre téléphone. Et cela représente, avec la gestion des moniteurs externes dans Android 16 , une étape supplémentaire vers la transformation de votre smartphone en un véritable ordinateur. Google travaille depuis novembre sur la possibilité d' exécuter des applications Linux sur les téléphones Android , une fonctionnalité rendue possible par l'Android Virtualization Framework (AVF, un ensemble d'API permettant aux appareils Android d'exécuter d'autres systèmes d'exploitation) pour exécuter Debian dans une machine virtuelle . À partir de là, vous pouvez exécuter des commandes Linux et même installer des applications (comme vous le faites avec les Chromebooks) dans un environnement distinct sur votre téléphone Android. L'outil est désormais disponible : activez simplement les options de développement sur les Pixels pris en charge (et à jour) en allant dans Paramètres, en sélectionnant À propos du téléphone , puis en appuyant sept fois sur le numéro de build . À ce stade, revenez à l’ écran principal Paramètres, appuyez sur Système , puis sur Options pour les développeurs . Ici, vous devriez voir l’ entrée Environnement de développement Linux – activez-la. Une fois activée, vous verrez une nouvelle application dans votre tiroir d'applications : Terminal. En appuyant dessus, vous téléchargerez un peu plus de 500 Mo de données, l' instance Debian (images d' Android Police ).

Actuellement, les paramètres du terminal vous permettent d’ajuster la quantité d’ espace allouée à l’environnement Linux via le paramètre « Redimensionner le disque », de définir les contrôles de port pour communiquer avec l’environnement Linux virtuel et une option de récupération pour la partition de stockage de la machine virtuelle. Avec Android 16 , cependant, l’accélération matérielle et peut-être un environnement graphique à part entière pourraient arriver. Et surtout (ou du moins on l'espère), la prise en charge de beaucoup plus d'appareils, ou du moins ceux dotés d'un matériel suffisamment puissant. Mais qui serait intéressé par quelque chose comme ça ? Bien sûr, c'est une fonctionnalité de niche, mais Qualcomm affirme que le Snapdragon 8 Elite est plus puissant qu'un Intel Core Ultra 288V dans un ordinateur portable comme l'ASUS Zenbook S14. Cela signifie que nous pourrions connecter notre téléphone à un moniteur ou à un boîtier comme le NexDock XL et l'utiliser comme un ordinateur portable à part entière.

Selon de nombreux analystes, Google va dans cette direction, avec l'idée d' unifier Android et ChromeOS pour concurrencer sérieusement les iPad (qui représentent un marché si vaste que l'UE les considère comme un gardien ). Ce n'est pas que ce ne soit pas possible maintenant : il suffit d'installer une application comme Debian NoRoot et nous aurons une instance Linux de bureau à notre disposition, mais une application intégrée est beaucoup plus optimisée (aussi et surtout du point de vue de la consommation), et avec les nouveaux outils d'Android 16, elle peut être beaucoup mieux utilisée. Au fil des années, nous avons vu de grands projets qui ont ensuite été abandonnés, comme le Motorola Atrix avec Ubuntu ou le Samsung DeX (vous vous souvenez ? Linux sur DeX a été abandonné en 2019) : avec le matériel actuel et surtout le soutien de Google, nous avons la possibilité de réaliser ce rêve.

Si vous travaillez avec du matériel limité ou souhaitez utiliser le moins de ressources possible, vous choisirez souvent un système d'exploitation basé sur Linux. Dans le passé, différentes variantes du système d’exploitation ont pu fonctionner sur une variété d’appareils obscurs. Plus récemment, le célèbre amateur Dmitry Grinberg a réussi à exécuter une image Debian avec un noyau Linux simplifié 4.4.292+ sur un Intel 4004 de 1971. Cependant, le processus de démarrage a pris près de cinq jours complets . La variante Linux, qui a été créée par un lycéen anonyme avec le nom d'utilisateur Github Ading2210 (ou vk6_ sur Reddit), n'est pas non plus particulièrement pratique. Mais les conditions dans lesquelles fonctionne le système sont d’autant plus impressionnantes. La version nommée « LinuxPDF » se trouve dans un fichier PDF. Il peut être exécuté dans n’importe quel navigateur Internet basé sur Chromium tel que Google Chrome ou Microsoft Edge . Pour rendre cela possible, une version spécialement adaptée de l'émulateur RISC-V TinyEMU est utilisée. Le code est « compilé avec une ancienne version d'Emscripten qui utilise asm.js au lieu de WebAssembly », explique Ading2210 sur la page Github du projet .

Lorsque les utilisateurs démarrent l’implémentation Linux, ils sont accueillis par une fenêtre grise créée à l’aide de caractères ASCII. Cependant, le développeur n’est pas satisfait de la vitesse de sa variante Linux. Parce que « le noyau Linux prend environ 30 à 60 secondes pour démarrer dans le fichier PDF, ce qui est plus de 100 fois plus lent que la normale ». Cependant, cela serait dû à la désactivation du compilateur juste-à-temps dans la version actuelle du moteur PDF de Chrome. Il n’y a rien à faire à ce sujet pour le moment. Il y a environ un mois, un projet similaire d'Ading2210 avait déjà fait sensation. Avant de se tourner vers Linux, il exécutait le jeu de tir classique Doom au format PDF de manière similaire . Avec environ douze FPS et des commandes WASD, le titre est en fait étonnamment jouable. Si vous souhaitez tester la variante Doom, vous pouvez également la trouver sur son propre site Web . Ici aussi, l'utilisation d'un navigateur basé sur Chromium est requise.

La distribution GNU/Linux Fedora Asahi Remix est désormais livrée avec des versions alpha d'OpenGL, OpenCL et des pilotes graphiques Vulkan qui vous permettent de jouer à certains jeux sur des Mac équipés de processeurs de série M1 ou M2. Mais il y a quelques points à garder à l'esprit. L'un d'eux est que la plupart des jeux PC auxquels vous voudrez probablement jouer sont conçus pour fonctionner sur des PC Windows avec des pilotes DirectX et des processeurs x86. Il faut donc une certaine émulation pour les faire fonctionner sur des Mac équipés de processeurs ARM, d'un système d'exploitation basé sur Linux et de pilotes Vulkan. Une partie du travail a également été rendue possible par les gens de Valve, qui ont développé le logiciel Proton qui permet à de nombreux jeux PC de fonctionner sous Linux. Et lors d'une démonstration en direct au XDC 2024, la développeuse Alyssa Rosenzweig a fait la démonstration du chargement et de l'exécution du client de jeu Steam sur un Mac Apple Silicon exécutant Asahi Linux.

Pour cette raison, il faut beaucoup de RAM – selon l’équipe Asahi, « la plupart des jeux nécessitent 16 Go de mémoire en raison de la surcharge d’émulation ». Vous ne pourrez donc probablement pas faire beaucoup de jeux d’entrée de gamme sur un Mac d’entrée de gamme avec seulement 8 Go de RAM. Certains des titres dont la jouabilité a été confirmée incluent Cyberpunk 2077 , The Witcher 3, Fallout 4, Control, Portal 2 et Ghostrunner. Mais il y a une différence entre jouable et fluide . Les développeurs affirment que des améliorations de performances seront nécessaires avant que les « nouveaux titres AAA » puissent fonctionner à 60 images par seconde ou plus. Mais les jeux moins exigeants comme Hollow Knight devraient fonctionner à pleine vitesse.

Les ordinateurs Linux ont échappé de peu à une menace potentielle qui aurait compromis leur sécurité, mais ce n'est pas l'histoire habituelle d'une vulnérabilité corrigée. Non, il s'agit cette fois d'un hacker qui a fait semblant de se porter volontaire pendant 2 ans pour maintenir un composant du système d'exploitation, et d'un vrai bénévole qui a découvert le problème par hasard. Découvrons comment et ce que cela aurait entraîné, mais surtout les risques d'un système extrêmement vulnérable, qui n'investit pas dans le travail sur lequel reposent les serveurs des géants du Web .

Ce qui s'est passé
Le 29 mars, une attaque contre le système Linux a été découverte, injectant du code malveillant dans le package XZ . Ce code modifie les fonctions de liblzma, qui est une bibliothèque de compression de données qui fait partie du package XZ Utils et est un élément essentiel de plusieurs distributions Linux majeures. Le package XZ Utils est un petit projet open source maintenu gratuitement par un développeur depuis au moins 2009, mais il est extrêmement important. En injectant ce code malveillant, le pirate a ouvert une porte dérobée qui pouvait être utilisée par n'importe quel logiciel connecté à la bibliothèque XZ et permettre l'interception et la modification des données utilisées avec la bibliothèque. Dans certaines conditions, cette porte dérobée pourrait permettre à un acteur malveillant de rompre l'authentification sshd , permettant ainsi à un agent attaquant d'accéder au système affecté. Nous parlons potentiellement de tous les ordinateurs et serveurs exécutant Linux dans le monde. Microsoft a mis en garde contre la vulnérabilité des distributions Linux concernées, qui incluent les versions 5.6.0 et 5.6.1 du package XZ Utils, et le Python Package Index (PuPI) a restreint la création de nouveaux comptes et la soumission de packages sur son portail.

Marqué comme CVE-2024-3094 , l'exploit a reçu un score de vulnérabilité (CVSS) de 10,0, ce qui est le score de menace le plus élevé possible offert par le National Institute of Standards and Technology (NIST). Pour donner une idée de la gravité, comme l'écrit Ben Thompson dans Stratechery : « la plupart des ordinateurs du monde seraient vulnérables et personne ne le saurait ». Et encore une fois, Will Dormann, analyste principal des vulnérabilités chez la société de sécurité Analysgence, a déclaré à Ars Technica : « Si cela n'avait pas été découvert, cela aurait été catastrophique pour le monde . »

L’incroyable histoire de la vulnérabilité : comment elle a été découverte
La découverte de cette vulnérabilité donne une idée de la fragilité du monde Linux. Le 29 mars, Andres Freund , un développeur Microsoft également bénévole pour PostgreSQL, effectue un micro-benchmark de routine lorsqu'il remarque un petit retard de 600 ms avec les processus ssh . Ceux-ci utilisent une quantité surprenante de CPU même s’ils échouent immédiatement. Il devient immédiatement méfiant et se souvient que quelques semaines plus tôt, il avait remarqué une " étrange plainte " d'un utilisateur de Postgres à propos de Valgrind, le programme Linux qui vérifie les erreurs de mémoire. Après enquête, Freund découvre finalement le problème et publie sa découverte sur la liste de diffusion de sécurité Open Source avec le titre "Une porte dérobée a été ouverte dans le référentiel xz et l'archive tar xz". Freund publie alors un article sur Mastodon , dans lequel il révèle à quel point la découverte a été complètement accidentelle : "Il a vraiment fallu beaucoup de coïncidences."

Une attaque prévue depuis deux ans, et ce n'est peut-être pas fini
La communauté a alors tenté de comprendre ce qui s'était passé et il s'est avéré que le responsable était un développeur qui avait repris le projet XZ . Comme nous l'avons vu, XZ est maintenu par un seul développeur, Lasse Collin . En 2021 JiaT75 , Jia Tan, commence à envoyer des contributions au projet et par la suite deux développeurs, probablement fictifs, Kumar et Ens, commencent à se plaindre des faibles progrès du développement. Collins s'excuse en disant qu'il a des problèmes de santé mentale et, sur l'insistance de Kumar et Ens, confie à JiaT75 d'abord un rôle plus important et en 2022 la maintenance du projet. Jia Tan travaille depuis deux ans sur le package XZ, puis injecte le code malveillant pour ouvrir la porte dérobée. Mais étant donné les efforts et les ressources nécessaires, nombreux sont ceux qui, sur le Web, pensent que l'auteur du code malveillant est un attaquant sophistiqué, peut-être affilié à une agence d'État . La situation continue d'évoluer et d'autres vulnérabilités pourraient être découvertes .

Le problème du mainteneur
L'incident et ses conséquences possibles sont un exemple de la beauté de l'open source et de sa vulnérabilité. Dans la pratique, de nombreux systèmes qui alimentent les serveurs d’organisations multimilliardaires sont entretenus gratuitement par des bénévoles. Un développeur derrière FFmpeg, un package multimédia open source populaire, a souligné le problème sur X , expliquant qu'il avait demandé à Microsoft de l'aider à maintenir le projet, mais qu'on lui avait proposé quelques milliers de dollars. Ces investissements ne sont pas considérés comme attractifs, même s’ils seraient probablement rentabilisés des milliers de fois au fil du temps. Les détails de cette attaque ont été découverts sans le soutien financier direct de nombreuses entreprises et organisations bénéficiant de ces bibliothèques.

Mon ordinateur est-il compromis ?
Quelles distributions sont concernées ? Disons tout de suite que les versions stables de Debian Linux (comme Ubuntu) sont sûres, mais les versions de test, instables et expérimentales nécessitent des mises à jour de xz-utils en raison de packages compromis. Red Hat a identifié les packages vulnérables dans Fedora 41 et Fedora Rawhide , mais pas dans Red Hat Enterprise Linux (RHEL), et a déconseillé de les utiliser jusqu'à ce qu'une mise à jour soit disponible. SUSE a publié des mises à jour pour openSUSE (Tumbleweed ou MicroOS). Les utilisateurs de Kali Linux qui ont mis à jour leur système entre le 26 et le 29 mars doivent à nouveau mettre à jour pour obtenir un correctif, tandis que ceux qui ont mis à jour avant le 26 mars ne sont pas affectés par cette vulnérabilité. On se souvient que le package à risque est XZ Utils, versions 5.6.0 et 5.6.1, mais comment savoir si notre ordinateur est concerné ? Simple, vous pouvez connaître la version de XZ Utils en exécutant la commande en SSH : xz --version . Compte tenu de la complexité du système mis en œuvre, l’accent est principalement mis sur les entreprises ou les organisations. La Cybersecurity and Infrastructure Security Agency (CISA) a recommandé aux organisations de passer aux versions précédentes de XZ Utils .

" Les dernières semaines ont été plutôt calmes, donc je pense qu'il n'y a aucune vraie raison de retarder la version 6.8 de [Linux Kernel] ." C'est un Linus Torvalds plutôt détendu (pour ne pas dire apathique) qui annonce la sortie de la version 6.8 du Kernel Linux. À tel point que, dans ce qu'il définit comme « un océan de normalité », il se livre à quelques considérations frivoles, annonçant comment la version 6.9 sera la première à atteindre l'objectif de 10 millions d'objets Git . Ce qui vous donne une idée de la quantité de nouvelles fonctionnalités de la version nouvellement publiée. Mais voyons ce qu'a apporté le noyau 6.8 . Torvalds décrit le changement le plus important comme l'ajout d'un nouveau pilote Xe drm . Ce pilote alimente les GPU Intel , qu'ils soient intégrés à un processeur ou discrets, mais est considéré comme expérimental. Un autre ajout au noyau implique la prise en charge d' AWS Nitro , la plate-forme de base pour la dernière génération d'instances Amazon Web Services EC2. Mais, comme le décrit laconiquement Torvalds, la majorité des nouvelles fonctionnalités sont des corrections de bugs et diverses mises à jour. Ceux-ci incluent des correctifs pour le système de fichiers bcachefs, l'un des ajouts majeurs à Linux 6.7, ainsi que des améliorations qui ont amené le noyau Rust aux processeurs utilisant l'architecture LoongArch. De plus, un meilleur support est arrivé pour le composant graphique du Raspberry Pi 5 et pour les contrôleurs Nintendo Switch Online.

Rien de sensationnel, " comme il se doit ", écrit Torvalds, et c'est peut-être pour cette raison qu'il s'est livré à une analyse définie comme " un peu de numérologie aléatoire ". Le créateur du noyau Linux a expliqué comment la version 6.8 a atteint 9,996 millions d'objets Git, la 6.9 sera donc la première à dépasser les 10 millions d'objets Git. Pour ceux qui ne le savent pas, les objets Git représentent le contenu des fichiers d'un dossier dans un référentiel, tels que les commits, les arborescences (les dossiers) et les objets balises. Rien de spécial donc, juste un chiffre rond qui, si l'on veut, représente un "objectif". Comme le souligne Torvalds lui-même : « Git s'en fiche ». Ce nombre ne représente évidemment pas les autres arborescences Linux, qui ont déjà largement dépassé les 10 millions d'objets.