Noyaux Linux 2025 : Analyse Complète

Publié par Cindy sur 11 Mars 2026, 05:57am

Catégories : #Linux 6.18 LTS, #CVE sécurité 2025, #Rust kernel, #dm-pcache

Analyse complète des noyaux Linux 2025 : nouveautés Linux 6.14 à 6.19, CVE critiques (nf_tables, ksmbd 0-day IA, Rust Binder LTS 6.18), suppression Bcachefs, dm-pcache, Apple Silicon M2. Recommandations de sécurité sourcées. SafeITExperts.

Noyaux Linux 2025 : Analyse Complète 6.14 → 6.19, CVE et Sécurité | SafeITExperts

ANALYSE COMPLÈTE — MARS 2026

Noyaux Linux 2025 :
Nouveautés, Sécurité & Recommandations

9 mars 2026 Cindy — SafeITExperts ~12 min 🐧 Linux · Sécurité · Open Source

🐧 Vue d'ensemble 2025

✏️ Corrections apportées à la version initiale de cet article

🔴 dm-CACHE → dm-pcache — erreur factuelle majeure corrigée
🟡 AMD SmartMux — nécessite un MUX matériel sur la carte mère, pas universel
➕ Linux 6.15 et 6.16 ajoutés (absents de la v1)
🗑️ Suppression de Bcachefs documentée (omission critique)
🔐 Section sécurité entièrement nouvelle — 6 CVE documentées et sourcées

2025 a été une année charnière pour le noyau Linux : adoption accélérée de Rust, support inédit d'Apple Silicon M2 Pro/Max/Ultra, et — fait historique — le premier 0-day kernel découvert par une IA. En parallèle : 8 à 9 nouvelles CVE kernel publiées chaque jour.

Salle de serveurs sous cyberattaque - illustration de la sécurité du noyau Linux en 2025 — 🖥️ **Illustration :** Salle de serveurs sous cyberattaque — plus de 130 CVE kernel publiées en janvier 2025, dont des failles critiques exploitées par des ransomwares.

6 Versions majeures

8–9 CVE kernel / jour

6.18 Version LTS 2025

⚙️ Versions 6.14 → 6.19

Linux 6.14 Standard 📅 24 mars 2025

AMD XDNA : premier pilote NPU Ryzen AI officiel
NTSYNC : gaming Windows (Wine/Proton) amélioré
Intel Panther Lake & Clearwater Forest : support thermique préliminaire
4 096 cœurs CPU : doublement de la limite — environnements HPC

Linux 6.15 Standard 📅 25 mai 2025

NOVA (Rust, NVIDIA Turing+) : premier pilote GPU entièrement en Rust — historique
Zero-copy io_uring : réseau sans copie — charge CPU réduite
Btrfs zstd temps réel : compression granulaire de −1 à −15
AMD INVLPGB : invalidation TLB broadcast multi-cœurs

Linux 6.16 Standard 📅 29 juillet 2025

Intel APX : registres généraux ×2 + instructions vectorielles étendues
ext4 bigalloc + large folio : +33% performances sur gros fichiers
XFS atomic writes : cohérence données garantie après crash
Bcachefs : dernier avertissement de Torvalds avant retrait

Linux 6.17 Standard 📅 28 sep. 2025

AMD SmartMux : bascule GPU ⚠️ MUX matériel requis
Intel Core Ultra Series 3 : Arrow Lake & Lunar Lake
Lenovo Legion Go / Go S : support complet
NVMe zéros sans I/O : effacement sécurisé sans accès disque
🗑️ Bcachefs retiré du mainline → DKMS ou Btrfs/ext4

Linux 6.18 ⭐ LTS — support jusqu'en déc. 2027 📅 30 nov. 2025

🍎 Plateformes

Apple M2 Pro / Max / Ultra : Device Trees Asahi Linux
Snapdragon X1 : Dell, HP OmniBook, Lenovo ThinkBook
MediaTek Dimensity 9400 & Kompanio Ultra
RISC-V : SiFive HiFive Premier P550

🤖 IA & GPU

Pilote Tyr (Rust) : ARM Mali CSF — base futur Panthor
NVIDIA Nouveau : GSP firmware par défaut (Turing & Ampere)
Secure AVIC / AMD SEV-SNP : VM chiffrées renforcées

💾 Stockage & réseau

dm-pcache : mémoire persistante CXL comme cache
Correction v1 La v1 mentionnait dm-CACHE — incorrect. La nouveauté est dm-pcache.
Sheaves (SLUB) : allocateur mémoire accéléré
UDP +50% : streaming & jeux en ligne haute charge

Linux 6.19 → 7.0 Standard 📅 8 fév. 2026

Publié le 8 février 2026. Linus Torvalds annonce que la version suivante sera Linux 7.0 — décision cosmétique, sans rupture architecturale.

ℹ️ Conseil pratique

Linux 6.18 LTS reste la référence jusqu'en décembre 2027. Linux 6.19 et 7.0 sont réservés aux utilisateurs avancés.

🔐 Sécurité — CVE Majeures 2025

📊 Contexte alarmant — 134 CVE en 16 jours

Janvier 2025 : 134 nouvelles CVE kernel en 16 jours. À fin octobre : 7 au catalogue KEV CISA. Les groupes ransomware RansomHub, Akira et Qilin ont compromis plus de 700 organisations dans 62 pays.

CVE-2024-1086 🔴 Critique

« Flipping Pages » — nf_tables

Type : Use-After-Free
Impact : escalade de privilèges locale → root
Status : KEV CISA oct. 2025 — exploitation active RansomHub & Akira

CVE-2021-22555 🔴 Critique

Heap OOB nftables — nft_set_elem_init()

Type : écriture hors limites heap via attributs netlink forgés
Impact : exécution de code arbitraire en root
Status : KEV CISA 6 octobre 2025

CVE-2024-50264 🟠 Élevée

Race condition timers POSIX

Type : TOCTOU — libération mémoire incorrecte en accès concurrent
Surface : très large — timers POSIX utilisés par processus, conteneurs, daemons
Status : KEV CISA sep. 2025 — exploitée sur stacks Android

CVE-2025-37899 ⚫ 0-day IA ksmbd SMB3

🤖 Événement historique — Premier 0-day kernel découvert par une IA

Sean Heelan a soumis 12 000 lignes de ksmbd au LLM o3 d'OpenAI. L'IA a identifié un UAF dans le gestionnaire SMB2 LOGOFF.

Impact : corruption mémoire exploitable à distance sur tout serveur exposant SMB3 via ksmbd
Action : modprobe -r ksmbd si inutilisé + patcher

CVE-2025-68260 🔴 Critique

Rust Binder (Linux 6.18)

⚠️ Concerne directement le LTS 6.18 recommandé

Type : Race condition dans death_list → corruption mémoire
Action : mettre à jour vers la dernière 6.18.x patchée

vsock / CVE-2023-0386 🟠 Élevée

OverlayFS & vsock

vsock : UAF vsock — depuis une VM, atteindre root sur l'hôte
OverlayFS : escalade de privilèges — KEV CISA 2025 — critique Docker/Podman
Tendance : attaques ciblant les frontières d'isolation

📊 Tableaux de synthèse

🗓️ Versions & fonctionnalités 2025

Version	Date	Fonctionnalités clés	Public cible
Linux 6.14	Mars 2025	AMD XDNA (NPU Ryzen AI) NTSYNC (gaming Proton) 4 096 cœurs CPU	Gamers, Ryzen AI
Linux 6.15	25 mai 2025	NOVA Rust (NVIDIA Turing) Zero-copy io_uring Btrfs zstd temps réel	Dev, réseau perf.
Linux 6.16	29 juil. 2025	Intel APX (registres ×2) ext4 bigalloc (+33%) XFS atomic writes	Serveurs, ext4/XFS
Linux 6.17	28 sep. 2025	AMD SmartMux (MUX hw) Intel Core Ultra S3 Lenovo Legion Go/Go S	Gamers portables
Linux 6.18 ⭐ LTS	30 nov. 2025	Apple M2 Pro/Max/Ultra dm-pcache (CXL) Pilote Tyr Rust (ARM) UDP +50% · Sheaves SLUB Snapdragon X1 laptops	✅ Tous — LTS déc. 2027
Linux 6.19	8 fév. 2026	Précurseur Linux 7.0	Utilisateurs avancés

🔐 CVE majeures 2025

CVE	Composant	Sévérité	Action immédiate
CVE-2024-1086	nf_tables	🔴 Critique	Patcher — actif en ransomware
CVE-2021-22555	nftables heap	🔴 Critique	Mise à jour urgente
CVE-2024-50264	Timers POSIX	🟠 Élevée	KEV CISA — patcher
CVE-2025-37899	ksmbd SMB3	⚫ 0-day IA	Désactiver ksmbd + patcher
CVE-2025-68260	Rust Binder (6.18)	🔴 Critique	Mettre à jour → 6.18.x
vsock / CVE-2023-0386	vsock, OverlayFS	🟠 Élevée	Désactiver vsock + audit Docker

✅ Recommandations SafeITExperts

⭐ Recommandation principale : Linux 6.18 LTS

Pour serveurs, stations de travail, entreprises et utilisateurs Apple Silicon : Linux 6.18 LTS jusqu'en décembre 2027. Vérifier qu'on est sur une version 6.18.x patchée (CVE-2025-68260).

🔍Vérifier sa version : uname -r — confirmer une version 6.18.x récente avec le patch CVE-2025-68260 appliqué
🗑️Bcachefs : passer au module DKMS ou migrer vers Btrfs / ext4 dès que possible
🔌ksmbd : désactiver si inutilisé — modprobe -r ksmbd
🔒vsock : désactiver en dehors des hyperviseurs — modprobe -r vsock
⚡Cycles de patch < 2 semaines pour les CVE critiques — les exploits arrivent vite après la publication
🐳Audit conteneurs : les attaques 2025 ciblent les frontières d'isolation Docker/Podman (OverlayFS)
📧Veille CVE : s'abonner aux bulletins kernel-security de sa distribution (Ubuntu, Debian, RHEL…)

Action	Impact sécurité	Complexité
Passer sur LTS 6.18	Très élevé	Faible
Mises à jour auto kernel	Élevé (0-day)	Faible
Migration Bcachefs → Btrfs	Élevé (stabilité)	Moyenne
Désactiver modules inutilisés	Moyen (surface)	Faible
Audit dépendances conteneurs	Moyen (isolation)	Élevée

📖 Glossaire technique

dm-pcache

Target Device Mapper (Linux 6.18) utilisant la mémoire persistante CXL/NVDIMM comme cache ultra-rapide. Distinct de dm-cache (cache SSD classique, existant depuis des années).

NOVA Driver (Rust)

Premier pilote GPU expérimental entièrement en Rust, ciblant les GPU NVIDIA Turing+ (Linux 6.15). Base du futur remplacement de Nouveau (Collabora, Google, ARM).

Bcachefs

Système de fichiers Linux intégré en 6.7, retiré du mainline en 6.17/6.18 après avertissements de Torvalds. Alternative : module DKMS ou migration vers Btrfs/ext4.

Use-After-Free (UAF)

Vulnérabilité où une zone mémoire est utilisée après sa libération. Permet d'écrire des données arbitraires dans le noyau et d'obtenir des privilèges root.

KEV CISA

Known Exploited Vulnerabilities catalog : liste officielle des failles activement exploitées publiée par l'agence US CISA. Priorité absolue de correction.

SLUB Sheaves

Amélioration de l'allocateur mémoire SLUB (Linux 6.18) : regroupement des objets similaires pour réduire la fragmentation et accélérer les allocations noyau.

AMD XDNA

Architecture NPU (Neural Processing Unit) AMD intégrée aux Ryzen AI. Inférence IA sur l'appareil sans GPU dédié — premier pilote officiel Linux 6.14.

Rust Binder (CVE-2025-68260)

Réécriture en Rust du driver IPC Android Binder, intégré dans Linux 6.18. La CVE-2025-68260 est une race condition introduite dans ce nouveau code.

Apple Silicon M2

Support des processeurs Apple M2 Pro/Max/Ultra dans Linux 6.18 LTS grâce aux Device Trees du projet Asahi Linux. Inclut GPU, WiFi, clavier et gestion d'énergie.

🔗 Sources vérifiées

Source	Organisme	Apport
kernel.org	Linux Foundation	Annonces officielles 6.14–6.19
phoronix.com	Phoronix	Couverture technique de chaque RC
lwn.net	Linux Weekly News	Analyse Bcachefs, dm-pcache, Rust Binder
CISA KEV	CISA (US Gov)	CVE-2024-1086, CVE-2021-22555, CVE-2024-50264
NVD NIST	NIST	Scores CVSS & descriptions officielles
linuxsecurity.com	Linux Security	CVE-2025-68260 (Rust Binder 6.18)
SemiEngineering / Georgia Tech	Recherche académique	CVE-2025-37899 — 0-day ksmbd via o3 OpenAI
BleepingComputer	BleepingComputer	RansomHub/Akira & CVE-2024-1086 actif
asahilinux.org	Projet Asahi Linux	Device Trees Apple M2 Pro/Max/Ultra

📚 Lecture SafeITExperts

🛡️ Sécurité et Confidentialité Linux, Windows, macOS

Guide complet des mesures préventives de cybersécurité pour Linux, Windows et macOS. Chiffrement, pare-feu, mises à jour, confidentialité : protégez-vous efficacement.

Sécurité

🔑 Mots de Passe Sécurisés : 10 Secrets ANSSI Infaillibles

Pour sécuriser vos mots de passe sur Windows, Mac et Linux : gestionnaires, 2FA, phrases longues et astuces anti-piratage. Protégez-vous facilement !

ANSSI

💻 Ordinateur volé : Guide Sécurité

La sécurité informatique est une réalité claire : un appareil volé peut devenir une porte ouverte à vos données et identité numérique. Analyse des 9 niveaux de risque et méthodologie de protection avancée.

Protection

🌐 Cybersécurité et Vie Privée Numérique : Guide Complet

Dans un monde hyperconnecté, la sécurité numérique n'est plus un luxe mais une nécessité absolue. Guide complet pour protéger votre vie privée.

Vie privée

À propos de l'auteure

Cindy est rédactrice pour SafeITExperts, blog bilingue FR/EN dédié à la cybersécurité, Linux, la souveraineté numérique et la stratégie IT. Cet article intègre des corrections factuelles documentées et sourcées.