Louer un VPS implique que vos voisins de serveur ne peuvent pas vous affecter. Januscape, une faille dormante depuis 2010 dans KVM, prouve le contraire. Et sur Intel comme sur AMD.

Quand vous louez un VPS, le principe de base est que votre machine virtuelle reste séparée de celles qui tournent à côté sur le même serveur physique. Januscape (CVE-2026-53359) remet en question cette isolation : depuis une VM louée, un attaquant peut provoquer la panne du serveur hôte entier, voire y exécuter du code avec les droits root. La faille a été découverte par le chercheur Hyunwoo Kim dans le sous-système KVM du noyau Linux. Le correctif a été intégré au noyau principal le 19 juin et aux branches stables le 4 juillet.
KVM et le bug de 2010 qui dormait dans le gestionnaire de mémoire virtuelle
Pour comprendre Januscape, un détour s'impose par ce que fait concrètement KVM (Kernel-based Virtual Machine), le composant du noyau Linux qui permet à un seul serveur physique d'héberger des dizaines de machines virtuelles indépendantes. KVM gère, entre autres choses, un « shadow MMU » : une copie fantôme des tables de pages mémoire de chaque VM invitée, que l'hôte maintient pour contrôler quel code peut accéder à quelle zone de mémoire. C'est un peu comme si un propriétaire d'immeuble conservait un jeu de passe-partout pour chaque appartement, non pas pour y entrer, mais pour vérifier à distance que les serrures fonctionnent correctement. La faille Januscape se niche dans la fonction kvm_mmu_get_child_sp(), introduite dans le noyau 2.6.36 en 2010, où une erreur de type use-after-free (utilisation d'une zone mémoire après sa libération) permet à un attaquant de corrompre ce mécanisme.
Deux conditions sont nécessaires pour déclencher la faille. L'attaquant doit avoir les droits root à l'intérieur de sa VM invitée (ce qui est le cas par défaut sur n'importe quel VPS loué chez un hébergeur grand public), et la virtualisation imbriquée doit être activée sur le serveur hôte (une option que tous les hébergeurs n'activent pas par défaut, ce qui limite l'exposition). Si ces deux conditions sont réunies, un PoC public permet de provoquer un kernel panic (panne totale) du serveur hôte, coupant toutes les VMs qui y tournent. L'exploitation complète visant à exécuter du code root sur l'hôte est techniquement possible mais requiert deux CVE couplées (CVE-2026-53359 et CVE-2026-46113) et aucun exploit public n'a encore été documenté pour ce stade.
Intel et AMD dans le même bateau : ce qui rend Januscape particulièrement rare
La plupart des vulnérabilités d'évasion de VM ciblent un comportement spécifique à un fabricant de processeur. Intel virtualise via l'extension VMX et ses tables EPT, AMD via SVM et ses tables NPT : deux architectures différentes qui génèrent généralement des surfaces d'attaque distinctes. La particularité de Januscape, c'est que le bug se situe dans le shadow MMU de KVM, un composant qui se place au-dessus de cette abstraction matérielle. En clair, la faille est agnostique au CPU : elle se déclenche sur des serveurs Intel comme sur des serveurs AMD, ce qui est exceptionnel pour une vulnérabilité d'évasion de VM de cette gravité.
Le précédent le plus proche reste VENOM, en 2015 (CVE-2015-3456), une évasion de VM dans le contrôleur de lecteur de disquette de QEMU qui touchait à la fois Intel et AMD. VENOM avait exposé à l'époque des millions de VMs. Januscape pèse sur un parc encore plus large : KVM équipe l'écrasante majorité des VPS Linux commerciaux, y compris chez OVHcloud dont les offres VPS reposent sur cette même technologie. La semaine a livré une deuxième faille noyau : Bad Epoll (CVE-2026-46242), une escalade de privilèges locale via le sous-système epoll, divulguée dans les mêmes jours par un autre chercheur.
La bonne nouvelle est que les hébergeurs sous KVM avaient le correctif mainline depuis le 19 juin (trois semaines avant la divulgation publique). Pour les administrateurs système qui gèrent leurs propres machines virtuelles ou font tourner de la virtualisation imbriquée, la priorité est de vérifier que le noyau Linux est à jour.
Seize ans dans le code, quelques semaines pour trouver : les délais de la sécurité informatique moderne ont des allures paradoxales. Google et son programme kvmCTF ont en quelques semaines trouvé ce que des années d'audit n'avaient pas vu (c'est peut-être la seule bonne nouvelle à retirer de Januscape).