Un chercheur anonyme a déversé sur GitHub le mode d'emploi de dizaines de failles non corrigées, sans avertir un seul éditeur. Deux failles critiques s'en détachent, l'une déjà exploitée, et le procédé interroge l'avenir même de la divulgation responsable.

Page GitHub d'« exploitarium », maintenant supprimée. © GitHub/Bikini
Page GitHub d'« exploitarium », maintenant supprimée. © GitHub/Bikini

Dans le petit monde de la cybersécurité, une règle tacite tient en quelques mots : quand on découvre une faille, on prévient d'abord l'éditeur concerné, on lui laisse le temps de corriger, puis on publie. Un internaute répondant au pseudonyme de « bikini » vient de piétiner allègrement cette coutume. Comme le rapporte The Register, il a mis en ligne sur GitHub un dépôt baptisé « exploitarium », bourré de codes d'attaque visant des dizaines de logiciels non corrigés, sans avertir personne.

VLC, 7-Zip, Firefox, Gitea : un inventaire qui fait peur (et beaucoup de bruit)

Le dépôt revendiquait plus de 130 démonstrations d'attaque visant une vingtaine de projets parmi les plus répandus : le lecteur multimédia VLC, l'archiveur 7-Zip, le navigateur Firefox, mais aussi FFmpeg, PHP, Docker ou OpenVPN. Le chiffre a de quoi impressionner, mais il mérite d'être relativisé. L'analyse de la communauté ramène l'ensemble à une quinzaine de cibles réellement distinctes. Le reste relève largement du bruit produit par des outils de fuzzing automatisés, ces programmes qui bombardent un logiciel de données malformées pour voir ce qui casse. Une bonne partie de ces prétendues failles a d'ailleurs été écartée comme de simples faux positifs habillés en découvertes critiques.

Dans son README, le chercheur explique sa démarche et l'utilisation de GPT-5.5.3 Codex. © GitHub/Bikini
Dans son README, le chercheur explique sa démarche et l'utilisation de GPT-5.5.3 Codex. © GitHub/Bikini

Deux entrées méritent toutefois qu'on s'y attarde sérieusement, et vite : la première, référencée CVE-2026-55200, touche libssh2, une bibliothèque qui implémente le protocole SSH côté client. Notée 9,2 sur 10, elle permet à un serveur malveillant d'exécuter du code à distance sur la machine qui s'y connecte, avant même toute authentification. Le souci, c'est que libssh2 se niche sous le capot d'outils omniprésents comme curl, Git ou PHP, ce qui démultiplie sa surface d'exposition. La seconde, référencée CVE-2026-58053, vise le runner d'intégration continue de Gitea, baptisé act_runner. Un utilisateur autorisé à lancer des workflows peut y détourner les options de conteneur pour s'évader du conteneur Docker et basculer en root sur l'hôte, malgré la désactivation du mode privilégié.

Côté correctifs, la situation reste inégale : celui de libssh2 est intégré au code source, mais aucune version stable ne l'embarque encore. L'évasion de conteneur du runner de Gitea, elle, n'a pas reçu de correctif confirmé à ce jour, et le code d'exploitation circule déjà librement. GitHub a bien retiré le dépôt, sans grand effet, puisque sur Internet rien ne disparaît jamais vraiment et que des copies subsistent un peu partout.

Quand l'IA fabrique les failles, la règle des 90 jours vole en éclats

En mai déjà, un autre chercheur anonyme, Nightmare-Eclipse, avait publié six failles Windows non corrigées au fil d'un bras de fer avec Microsoft, dont trois ont depuis été activement exploitées. Clubic était revenu en détail sur cette controverse. Le point commun entre les deux affaires, loin de l'accident isolé : l'usage d'outils d'intelligence artificielle pour dénicher les vulnérabilités en masse, puis les diffuser sans le moindre garde-fou.

Dans le scénario idéal, l'éditeur dispose d'environ quatre-vingt-dix jours pour livrer un correctif avant toute publication. Un délai déjà mis à mal par le passé lors d'épisodes comme Log4Shell, qui ont relancé un débat récurrent sur la pertinence de publier une faille avant son correctif. Sauf qu'en 2026, cette mécanique s'est radicalement accélérée : le temps qui sépare la mise en ligne d'un code d'attaque de son exploitation par des pirates se compte désormais en heures, parfois en minutes. La marge de réaction des équipes de défense en pâtit directement.

C'est précisément ce que le législateur européen tente d'anticiper. À partir du 11 septembre 2026, le Cyber Resilience Act imposera aux fabricants de signaler sous vingt-quatre heures toute faille activement exploitée. L'alerte passera par une plateforme de signalement unique, qui la fera remonter au CERT-FR pour la France comme à l'agence européenne ENISA. Le texte rend aussi obligatoire le fameux SBOM, un inventaire détaillé des composants logiciels d'un produit. L'intérêt saute aux yeux pour un cas comme libssh2 : sans liste de ses dépendances, impossible de savoir en urgence si l'on est exposé, soit exactement le casse-tête vécu jadis avec Log4Shell. Les entreprises qui négligeront ces obligations risqueront des amendes pouvant atteindre 15 millions d'euros ou 2,5 % de leur chiffre d'affaires mondial.

Pour les administrateurs comme pour les utilisateurs, le réflexe ne change pas : traquer libssh2 dans ses dépendances, passer Gitea à jour, et ne pas attendre septembre pour savoir ce qui tourne sous le capot.