7 min de lecture \u00b7 Mis \u00e0 jour le 23.04.2026<\/p>\n
Le 14 avril 2026, la vuln\u00e9rabilit\u00e9 CVE-2026-5752 a \u00e9t\u00e9 rendue publique, concernant une \u00e9chappatoire de bac \u00e0 sable dans le projet open-source Terrarium. Le CERT\/CC (Computer Emergency Response Team\/Coordination Center) a analys\u00e9 cette faille en d\u00e9tail le 22 avril, avec un score CVSS de 9.3, permettant l’ex\u00e9cution de code root dans le conteneur de bac \u00e0 sable. L’entreprise derri\u00e8re Terrarium est Cohere AI, et non Cloudflare. Ceux qui ont confondu les deux fournisseurs ces derniers jours devraient corriger leurs notes de mitigation. Les \u00e9quipes Edge-Workers, les MSP (Managed Service Providers) avec des chemins d’ex\u00e9cution de code dans les applications LLM (Large Language Models) et tous les op\u00e9rateurs utilisant Terrarium pour la logique de bac \u00e0 sable bas\u00e9e sur des conteneurs doivent r\u00e9agir imm\u00e9diatement dans les 72 heures.<\/strong><\/p>\n Qu’est-ce que Terrarium ?<\/strong> Terrarium est une sandbox Open Source de Cohere AI, fournie sous forme de conteneur Docker. Elle ex\u00e9cute du code non fiable, souvent des extraits Python ou JavaScript provenant d’utilisateurs ou de mod\u00e8les de langage de grande taille (LLM). Cohere AI est le fournisseur, pas Cloudflare. La confusion appara\u00eet dans certains rapports secondaires car l’architecture Cloudflare Workers poss\u00e8de sa propre sandbox. Quiconque utilise les deux stacks en parall\u00e8le devrait maintenir une distinction claire entre les termes.<\/p>\n Le bug lui-m\u00eame a \u00e9t\u00e9 rendu public le 14 avril 2026, avec une analyse d\u00e9taill\u00e9e suppl\u00e9mentaire par CERT\/CC sous la r\u00e9f\u00e9rence VU#414811 le 22 avril. La faille se situe dans la cha\u00eene de prototypes JavaScript. Un code charg\u00e9 dans la sandbox peut acc\u00e9der \u00e0 l’objet global via la propri\u00e9t\u00e9 prototype du constructeur Function. L’objet Mock-Document dans Terrarium est cr\u00e9\u00e9 comme un litt\u00e9ral d’objet JavaScript standard et h\u00e9rite ainsi des propri\u00e9t\u00e9s de Object.prototype. Ce m\u00e9canisme d’h\u00e9ritage permet au code de la sandbox de remonter jusqu’\u00e0 globalThis et d’obtenir les privil\u00e8ges root dans le conteneur.<\/p>\n Les cons\u00e9quences pratiques sont graves. Un exploit r\u00e9ussi accorde les privil\u00e8ges root dans le conteneur, lit ou \u00e9crit dans \/etc\/passwd et les cl\u00e9s SSH, lit les variables d’environnement contenant des cl\u00e9s API temporaires et acc\u00e8de aux services voisins dans le r\u00e9seau de conteneurs. Selon la configuration, les voies d’\u00e9vasion du conteneur vers l’h\u00f4te sont probables. Particuli\u00e8rement d\u00e9licat est la combinaison avec les informations d’identification temporaires dans les variables d’environnement, qu’un attaquant peut extraire en quelques secondes avant que les pipelines de d\u00e9tection ne r\u00e9agissent.<\/p>\n Trois classes d’applications m\u00e9ritent une r\u00e9action rapide. La premi\u00e8re concerne les applications LLM (Large Language Models) avec interpr\u00e9teur de code int\u00e9gr\u00e9. Quiconque exploite une application de chat avec ex\u00e9cution Python a presque certainement une couche sandbox dans son architecture. Si cette couche est Terrarium, le correctif ou la mitigation devrait \u00eatre d\u00e9ploy\u00e9 en production dans les 24 heures. Un inventaire par scan SBOM (Software Bill of Materials) ou audit d’image de conteneur clarifie la situation en quelques heures.<\/p>\n La deuxi\u00e8me classe concerne les piles Edge d’entreprise o\u00f9 Terrarium fonctionne comme composant dans de plus grandes plateformes. Ici, la propagation est plus difficile \u00e0 d\u00e9tecter car Terrarium est souvent int\u00e9gr\u00e9 plus profond\u00e9ment dans les images de conteneur. Des outils SBOM comme Trivy, Grype ou Snyk fournissent g\u00e9n\u00e9ralement des r\u00e9sultats fiables, \u00e0 condition que les SBOM soient \u00e0 jour. Quiconque n’a pas de discipline SBOM perd un temps de r\u00e9action pr\u00e9cieux lors de telles vagues d’attaques.<\/p>\n La troisi\u00e8me classe concerne les applications multi-locataires qui offrent l’ex\u00e9cution de code aux clients finaux. Ici, la faille est particuli\u00e8rement critique car un attaquant avec un acc\u00e8s root dans le conteneur sandbox pourrait potentiellement acc\u00e9der aux donn\u00e9es d’autres locataires. Les op\u00e9rateurs multi-locataires devraient mener en parall\u00e8le de la mitigation une analyse forensique des 30 derniers jours et informer activement les clients d\u00e8s que la mitigation est effective.<\/p>\n Trois jours suffisent pour la r\u00e9action initiale \u00e0 l’incident. Le m\u00e9canisme est \u00e9troitement li\u00e9 \u00e0 la r\u00e9action ASP.NET Core du m\u00eame week-end, ce qui facilite une chor\u00e9graphie partag\u00e9e entre l’ing\u00e9nierie et la s\u00e9curit\u00e9.<\/p>\n Trois le\u00e7ons structurelles m\u00e9ritent d’\u00eatre soulign\u00e9es. Premi\u00e8rement : les bugs des AI Sandbox ne sont plus une discipline de niche en 2026. Avec l’essor des applications de LLM (Large Language Models) fonctionnant avec un interpr\u00e9teur de code, la Sandbox est devenue une composante critique dans les stacks d’entreprise. Quiconque d\u00e9ploie une application de chat avec ex\u00e9cution Python assume une responsabilit\u00e9 Sandbox qui n’\u00e9tait souvent pas pr\u00e9vue dans le cahier des charges.<\/p>\n Deuxi\u00e8mement : la discipline li\u00e9e au SBOM (Software Bill of Materials) d\u00e9termine le temps de r\u00e9action. Celui qui maintient une liste compl\u00e8te des composants logiciels r\u00e9agit en heures. Celui qui n’a pas de SBOM cherche pendant des jours. Pour des failles critiques comme CVE-2026-5752, cette diff\u00e9rence est op\u00e9rationnellement pertinente. Les investissements dans les outils de gestion de SBOM se r\u00e9v\u00e8leront multipl\u00e9ment rentables d\u00e8s le premier incident s\u00e9rieux.<\/p>\n Troisi\u00e8mement : la responsabilit\u00e9 li\u00e9e aux logiciels Open Source m\u00e9rite une attention strat\u00e9gique. Cohere AI est un fournisseur commercial, tandis que Terrarium est un projet Open Source largement d\u00e9ploy\u00e9. Le CERT\/CC n’a pas pu mettre en place une distribution coordonn\u00e9e de correctifs. Ce n’est pas inhabituel, mais cela oblige les op\u00e9rateurs \u00e0 assumer leurs propres responsabilit\u00e9s. Quiconque int\u00e8gre des composants Open Source dans des stacks de production devrait v\u00e9rifier r\u00e9guli\u00e8rement le statut de cycle de vie de chaque composant. L’analyse approfondie sur l’architecture de Sandbox strat\u00e9gique<\/a> propose un d\u00e9veloppement plus d\u00e9taill\u00e9 sur ce sujet.<\/p>\n CVE-2026-5752 s’inscrit dans une s\u00e9rie. Microsoft ASP.NET Core CVE-2026-40372<\/a> est survenu le m\u00eame week-end, la mise \u00e0 jour CISA-KEV du 20 avril<\/a> a apport\u00e9 huit autres vuln\u00e9rabilit\u00e9s. Le T2 2026 r\u00e9v\u00e8le une fr\u00e9quence d’incidents critiques que les \u00e9quipes de s\u00e9curit\u00e9 op\u00e9rationnelle n’\u00e9taient pas habitu\u00e9es \u00e0 voir en 2024.<\/p>\n Structurellement, cela exige une architecture de r\u00e9ponse diff\u00e9rente. Ceux qui en 2024 pouvaient planifier avec deux CVE critiques par mois voient en 2026 quatre \u00e0 six par semaine. La visibilit\u00e9 en ing\u00e9nierie de plateforme, les pipelines de correctifs automatis\u00e9s et l’inventaire bas\u00e9 sur les SBOM doivent devenir des \u00e9quipements standard. Qui reporte cela cr\u00e9e une friction croissante qui deviendra visible dans les prochains trimestres.<\/p>\n Pour les conseils d’administration, l’incident repr\u00e9sente un cas d’examen concret. Une question sur le statut actuel des correctifs lors de la prochaine r\u00e9union du conseil d’administration affine le sujet pour le CISO et le CIO. Une deuxi\u00e8me question sur la maturit\u00e9 des SBOM et la communication d’incidents multi-locataires fournit un bon contr\u00f4le de gouvernance. Celui qui peut r\u00e9pondre de mani\u00e8re concr\u00e8te aux deux questions en 30 secondes dispose d’une gouvernance de s\u00e9curit\u00e9 fonctionnelle. Celui qui fournit des r\u00e9ponses vagues a un besoin d’investissement identifiable pour 2026.<\/p>\n Non. Terrarium est un projet open-source de Cohere AI. La confusion avec Cloudflare Workers est apparue dans certains rapports secondaires. Ceux qui ont mentionn\u00e9 Cloudflare comme fournisseur dans leurs notes de mitigation devraient corriger cela.<\/p>\n Actuellement, le CERT\/CC n’a pas r\u00e9ussi \u00e0 coordonner une mise \u00e0 disposition de patch avec le fournisseur. Les options de mitigation sont du ressort des op\u00e9rateurs : verrouillage IMDS, durcissement des sorties, renforcement des conteneurs, r\u00e9duction des autorisations. Ceux qui suivent activement les mises \u00e0 jour de Cohere devraient appliquer imm\u00e9diatement le patch d\u00e8s sa publication.<\/p>\n Alertes SIEM pour les spawns de processus de conteneurs en bac \u00e0 sable, chasse EDR sur les acc\u00e8s \u00e0 \/etc\/passwd, anomalies dans les connexions sortantes depuis les conteneurs en bac \u00e0 sable. Pour les configurations multi-locataires, surveiller \u00e9galement les limites inter-locataires.<\/p>\n Similaire, mais diff\u00e9rent. Les \u00e9chappements de conteneurs classiques affectent le runtime du conteneur lui-m\u00eame. La CVE-2026-5752 affecte la couche de bac \u00e0 sable JavaScript \u00e0 l’int\u00e9rieur du conteneur, mais peut escalader jusqu’\u00e0 root et potentiellement conduire \u00e0 un \u00e9chappement de conteneur. La d\u00e9fense en profondeur est la r\u00e9ponse appropri\u00e9e.<\/p>\n Particuli\u00e8rement critique. Un attaquant avec un acc\u00e8s root dans le conteneur en bac \u00e0 sable peut potentiellement acc\u00e9der aux donn\u00e9es d’autres locataires si l’isolation est insuffisante. Les fournisseurs multi-locataires devraient pr\u00e9parer imm\u00e9diatement une communication avec leurs clients et effectuer une analyse forensique des 30 derniers jours.<\/p>\n Les op\u00e9rateurs NIS2 d’installations essentielles et particuli\u00e8rement importantes doivent \u00e9valuer la gravit\u00e9 et, le cas \u00e9ch\u00e9ant, la signaler. Les op\u00e9rateurs DORA dans le secteur financier classifient cela comme un incident li\u00e9 aux TIC et suivent le chemin de reporting interne. Ceux qui travaillent dans des secteurs r\u00e9glement\u00e9s devraient documenter l’\u00e9valuation, m\u00eame si aucune obligation de reporting ne s’applique.<\/p>\n Analyse approfondie de Terrarium : architecture Sandbox et enseignements de l’EU AI Act<\/a><\/p>\n Microsoft ASP.NET Core CVE-2026-40372 avec plan de 72h<\/a><\/p>\n Mise \u00e0 jour CISA KEV d’avril 2026 avec huit CVEs<\/a><\/p>\n<\/div>\nPoints cl\u00e9s<\/h2>\n
\n
V\u00e9rification des faits et incident r\u00e9el<\/h2>\n
Qui est concern\u00e9 dans l’entreprise et ce que l’action imm\u00e9diate signifie<\/h2>\n
Ce que les \u00e9quipes de s\u00e9curit\u00e9 doivent faire imm\u00e9diatement<\/h3>\n
\n
Ce qui ne suffit pas<\/h3>\n
\n
Un plan de r\u00e9action en 72 heures pour les \u00e9quipes Edge et Plateforme<\/h2>\n
Ce que la faille r\u00e9v\u00e8le sur le monde des AI Sandbox 2026<\/h2>\n
Comment l’incident s’int\u00e8gre au panorama des correctifs du T2<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Est-il vrai que Terrarium appartient \u00e0 Cloudflare ?<\/h3>\n
Quelles sont les options de patch disponibles ?<\/h3>\n
Quelles r\u00e8gles de d\u00e9tection sont pertinentes ?<\/h3>\n
Comment le bug se comporte-t-il par rapport aux failles classiques d’\u00e9chappement de conteneur ?<\/h3>\n
Que signifie cette faille pour les fournisseurs multi-locataires ?<\/h3>\n
Comment g\u00e9rer le reporting aux autorit\u00e9s de supervision ?<\/h3>\n
Conseils de lecture de la r\u00e9daction<\/h2>\n