8 min de lecture \u00b7 Mis \u00e0 jour le 23.04.2026<\/p>\n
Le 14 avril 2026, la vuln\u00e9rabilit\u00e9 CVE-2026-5752 a \u00e9t\u00e9 rendue publique, r\u00e9v\u00e9lant une \u00e9chappatoire de bac \u00e0 sable dans le projet open-source Terrarium de Cohere AI. Depuis le 22 avril, les \u00e9quipes de s\u00e9curit\u00e9 ont une \u00e9valuation plus pr\u00e9cise de la situation : CVSS 9.3, \u00e9chappatoire de cha\u00eene de prototypes, ex\u00e9cution de code root dans le conteneur, avec un potentiel de propagation \u00e0 l’h\u00f4te. Terrarium n’est pas un outil de niche, mais une infrastructure largement utilis\u00e9e pour l’ex\u00e9cution de code dans les charges de travail des grands mod\u00e8les de langage (LLM). Ceux qui ont d\u00e9velopp\u00e9 des fonctionnalit\u00e9s d’IA avec des environnements d’ex\u00e9cution en bac \u00e0 sable au cours des derniers mois se posent une question cruciale : le bug affecte-t-il \u00e9galement leur propre pile technologique ?<\/strong><\/p>\n Qu’est-ce que Terrarium ?<\/strong> Terrarium est un bac \u00e0 sable open-source d\u00e9velopp\u00e9 par Cohere AI, fourni sous forme de conteneur Docker. Il ex\u00e9cute du code non fiable de mani\u00e8re s\u00e9curis\u00e9e, comme des extraits de code Python ou JavaScript, soit entr\u00e9s par les utilisateurs, soit g\u00e9n\u00e9r\u00e9s par un grand mod\u00e8le de langage. Terrarium fait partie des impl\u00e9mentations de r\u00e9f\u00e9rence lorsque les \u00e9quipes produit int\u00e8grent un interpr\u00e9teur de code dans leur application de grand mod\u00e8le de langage sans construire eux-m\u00eames une architecture compl\u00e8te de bac \u00e0 sable. Son utilisation va des chatbots avec ex\u00e9cution Python aux agents d’entreprise qui effectuent des analyses de donn\u00e9es automatis\u00e9es dans les environnements clients.<\/p>\n Le bug lui-m\u00eame est une variante d’une classe d’attaques connue. L’\u00e9chappement de la cha\u00eene de prototypes JavaScript signifie qu’un code charg\u00e9 dans le bac \u00e0 sable acc\u00e8de \u00e0 l’objet global via la propri\u00e9t\u00e9 prototype du constructeur de fonction. Terrarium g\u00e9n\u00e8re un objet Document simul\u00e9 en tant qu’objet litt\u00e9ral JavaScript normal. Celui-ci h\u00e9rite via Object.prototype les fonctions d’acc\u00e8s dont les attaquants ont besoin pour s’\u00e9chapper du bac \u00e0 sable. Ce sch\u00e9ma est connu depuis des ann\u00e9es dans les bugs de bac \u00e0 sable des navigateurs, mais il pr\u00e9sente une autre dimension de risque dans un contexte d’ex\u00e9cution de code c\u00f4t\u00e9 serveur avec des droits root.<\/p>\n Les cons\u00e9quences pratiques sont graves. Un exploit r\u00e9ussi donne acc\u00e8s root \u00e0 l’int\u00e9rieur du conteneur, lit ou modifie \/etc\/passwd et les cl\u00e9s SSH, lit les variables d’environnement y compris les cl\u00e9s API, atteint les services voisins dans le r\u00e9seau de conteneurs et rend les chemins d’\u00e9chappement de conteneur plus probables. Selon la configuration, des acc\u00e8s \u00e0 l’h\u00f4te sont possibles. Particuli\u00e8rement d\u00e9licate est la combinaison avec des cl\u00e9s API \u00e0 courte dur\u00e9e de vie, souvent transmises en tant que variable d’environnement. Un exploit peut extraire des identifiants en quelques secondes avant que les \u00e9quipes de s\u00e9curit\u00e9 ne r\u00e9agissent \u00e0 l’incident.<\/p>\n La valeur de cet incident ne r\u00e9side pas dans un simple patch, mais dans la question qu’il soul\u00e8ve. Depuis 2024, les piles d’entreprise en p\u00e9riph\u00e9rie ont structurellement \u00e9volu\u00e9. De nombreux produits int\u00e8grent aujourd’hui une fonction d’interpr\u00e9tation de code, permettant aux utilisateurs ou aux mod\u00e8les d’IA d’ex\u00e9cuter de petits scripts. Les applications vont des assistants d’analyse de donn\u00e9es aux workflows agentiques qui g\u00e9n\u00e8rent des scripts de mani\u00e8re autonome. Dans ce contexte, un bac \u00e0 sable n’est pas optionnel, mais constitue le seul pont entre l’utilit\u00e9 commerciale et un risque acceptable. Si ce pont s’effondre, c’est toute la promesse qui s’\u00e9croule.<\/p>\n C’est pr\u00e9cis\u00e9ment cette confiance qui est remise en question avec un bug de type Terrarium. Les utilisateurs de Terrarium doivent d\u00e9terminer si leur propre pile est affect\u00e9e. Ceux qui utilisent un autre bac \u00e0 sable, comme Pyodide, E2B, nsjail, Firecracker-VMs ou une solution maison, devraient consid\u00e9rer ce bug comme une opportunit\u00e9 de r\u00e9viser leur architecture. Les \u00e9chappements de cha\u00eene de prototypes ne sont pas uniques \u00e0 Terrarium. La question est de savoir si votre bac \u00e0 sable dispose d’une d\u00e9fense syst\u00e9matique contre ce type d’attaque ou s’il pr\u00e9sente une faille similaire pour d’autres raisons.<\/p>\n Pour les \u00e9quipes de s\u00e9curit\u00e9, cela signifie concr\u00e8tement que l’architecture des bacs \u00e0 sable doit \u00eatre un sujet de revue \u00e0 part enti\u00e8re en 2026, et non un simple d\u00e9tail de framework secondaire. Ceux qui n’ont pas pens\u00e9 leur pipeline de produits IA jusqu’\u00e0 la couche d’ex\u00e9cution des conteneurs construisent sur du sable. Le bug Terrarium est une occasion d\u00e9sagr\u00e9able de le reconna\u00eetre avant qu’un attaquant ne le fasse.<\/p>\n La dur\u00e9e est d\u00e9lib\u00e9r\u00e9ment courte. Les bugs de type sandbox avec un potentiel d’ex\u00e9cution de code root n\u00e9cessitent une cadence claire. Ceux qui d\u00e9passent les dix jours de traitement ont un autre probl\u00e8me qu’une CVE (Common Vulnerabilities and Exposures).<\/p>\n Deux le\u00e7ons m\u00e9ritent r\u00e9flexion. La premi\u00e8re concerne le choix de l’architecture du bac \u00e0 sable. Ceux qui ont besoin d’un bac \u00e0 sable devraient, d’ici 2026, empiler au moins deux couches d’isolation. Un bac \u00e0 sable linguistique comme Terrarium ou Pyodide constitue la premi\u00e8re couche. Une limite de conteneur rigide ou une micro-VM Firecracker constitue la deuxi\u00e8me. \u00c0 ce deuxi\u00e8me niveau, les bugs de la cha\u00eene de prototypes peuvent encore s’\u00e9chapper, mais ils n’ont pas de credentials de production ni d’acc\u00e8s au r\u00e9seau. Pour les charges de travail sensibles, cette structure \u00e0 deux couches est un minimum.<\/p>\n La deuxi\u00e8me le\u00e7on concerne la relation avec les fournisseurs de projets open-source dans l’\u00e9cosyst\u00e8me de l’IA. Cohere est un fournisseur commercial, Terrarium un projet open-source largement utilis\u00e9. Le CERT\/CC n’a pas r\u00e9ussi \u00e0 coordonner la mise \u00e0 disposition d’un patch. Ce n’est pas inhabituel pour des projets qui ne sont pas au centre des pr\u00e9occupations de commit d’un fournisseur. Les \u00e9quipes de s\u00e9curit\u00e9 devraient \u00e9valuer chaque composant de leur propre stack en fonction de la fiabilit\u00e9 de la r\u00e9action du fournisseur en cas d’urgence. La faille de Vercel via Context.ai OAuth<\/a> du 22 avril \u00e9tait un exemple de probl\u00e8me structurel similaire dans la cha\u00eene d’approvisionnement de l’infrastructure IA. Ce sch\u00e9ma se r\u00e9p\u00e8te plus rapidement que le march\u00e9 ne peut le r\u00e9soudre.<\/p>\n Un troisi\u00e8me point, moins souvent abord\u00e9 : les tests. Les bugs des bacs \u00e0 sable IA ne sont pas d\u00e9tect\u00e9s par les scans classiques des applications web. Ils n\u00e9cessitent des v\u00e9rifications sp\u00e9cialis\u00e9es qui testent les attaques par cha\u00eene de prototypes, les astuces d’h\u00e9ritage d’objets et les variantes d’\u00e9chappement. Les tests de p\u00e9n\u00e9tration pour les produits IA devraient, d’ici 2026, inclure une section sp\u00e9cifique aux bacs \u00e0 sable. Ceux qui ach\u00e8tent des v\u00e9rifications selon le Top 10 OWASP classique et pensent que cela couvre l’application IA n’ach\u00e8tent qu’un demi-test. Ceux qui int\u00e8grent cette prise de conscience dans le prochain cycle de v\u00e9rification trouveront des bugs avant que l’autre camp ne les d\u00e9couvre.<\/p>\n Une partie du travail ne se fait pas dans la salle des serveurs, mais dans la salle du conseil. Lorsqu’un conseil d’administration pose la question de savoir si l’entreprise est affect\u00e9e par la CVE-2026-5752, le responsable informatique doit avoir une r\u00e9ponse fiable. \u00ab\u00a0Nous v\u00e9rifions\u00a0\u00bb ne suffit pas. La bonne r\u00e9ponse d\u00e9crit en trois phrases quels services utilisent Terrarium, quelles mesures d’att\u00e9nuation sont en place et quand la d\u00e9cision finale sera prise. Celui qui peut fournir cette structure en 24 heures dispose d’une gouvernance de s\u00e9curit\u00e9 fonctionnelle. Celui qui ne le peut pas sait o\u00f9 investir en 2026.<\/p>\n Pour le niveau du conseil de surveillance, une deuxi\u00e8me phrase est utile. Il n’existe pas de s\u00e9curit\u00e9 totale dans les environnements d’ex\u00e9cution de code, mais il existe des classes de risques d\u00e9finies et des tol\u00e9rances aux erreurs acceptables. Une entreprise mature peut documenter sa tol\u00e9rance aux erreurs et fournir des chiffres sur les incidents. Une entreprise immature parle de s\u00e9curit\u00e9 de mani\u00e8re abstraite, sans chiffres. La r\u00e9action de Terrarium est un bon levier de diagnostic pour d\u00e9terminer ce niveau de maturit\u00e9.<\/p>\n Un dernier point concerne les d\u00e9cisions en mati\u00e8re de personnel. La s\u00e9curit\u00e9 des bacs \u00e0 sable AI est un domaine sp\u00e9cialis\u00e9 qui rendra les talents plus rares en 2026 que la s\u00e9curit\u00e9 classique des applications web. Celui qui embauche pr\u00e9cocement un ing\u00e9nieur en s\u00e9curit\u00e9 senior sp\u00e9cialis\u00e9 dans les bacs \u00e0 sable ou qui passe par des contrats de services g\u00e9r\u00e9s sera mieux pr\u00e9par\u00e9 pour le prochain incident. La p\u00e9nurie sur le march\u00e9 s’aggravera au cours des 18 prochains mois, car de plus en plus d’entreprises int\u00e8greront des fonctionnalit\u00e9s AI dans leurs produits. Investir maintenant permet de s\u00e9curiser les connaissances et les ressources.<\/p>\n La r\u00e9flexion r\u00e9glementaire m\u00e9rite un paragraphe \u00e0 part. L’Acte europ\u00e9en sur l’IA (AI Act) n’aborde pas les pipelines de production d’IA au niveau des impl\u00e9mentations individuelles de sandbox. Cependant, pour les applications \u00e0 haut risque, il exige une gestion des risques robuste. Un bug de sandbox non corrig\u00e9 avec un score CVSS 9.3 rentre dans n’importe quelle matrice de risque raisonnablement bien con\u00e7ue. Quiconque exploitera une application d’IA \u00e0 haut risque en 2026 sans avoir de revue de sandbox document\u00e9e cr\u00e9era un d\u00e9ficit de conformit\u00e9 qui se r\u00e9v\u00e9lera lors de la premi\u00e8re s\u00e9rie d’audits en 2027.<\/p>\n Parall\u00e8lement, le cadre de la NIS2 fonctionne selon des principes similaires. Les op\u00e9rateurs d’installations essentielles et d’importance particuli\u00e8re doivent prendre des mesures techniques et organisation appropri\u00e9es pour prot\u00e9ger les syst\u00e8mes de r\u00e9seau et d’information. L’architecture sandbox en fait partie. Une interpr\u00e9tation qui ne consid\u00e8re l’ex\u00e9cution de code IA que comme une nouvelle classe de fonctionnalit\u00e9s est insuffisante. D\u00e8s qu’un sandbox obtient des droits root dans le conteneur et a acc\u00e8s au r\u00e9seau, il devient un syst\u00e8me de r\u00e9seau et d’information au sens de la directive.<\/p>\n Pour les responsables de la protection des donn\u00e9es, l’affaire ouvre une autre discussion. Si les conteneurs sandbox ont acc\u00e8s aux variables d’environnement et aux destinations r\u00e9seau internes, les donn\u00e9es personnelles sont potentiellement accessibles, m\u00eame si la sandbox ne communique formellement pas avec une base de donn\u00e9es. L’article 32 du RGPD sur les mesures techniques et organisationnelles prend une dimension pratique avec de tels bugs. Celui qui peut documenter, sans incident, quelles donn\u00e9es circulent vers quelle couche de conteneur dispose d’une base solide. Celui qui traite cela seulement apr\u00e8s un incident se trouve dans une situation juridiquement plus d\u00e9licate et doit fournir des justifications suppl\u00e9mentaires aux autorit\u00e9s de contr\u00f4le et \u00e0 sa propre client\u00e8le, qui n’auraient jamais \u00e9t\u00e9 n\u00e9cessaires avant un incident.<\/p>\n La le\u00e7on \u00e0 en tirer est pragmatique : la documentation prime sur la perfection. Un bref aper\u00e7u de l’architecture sandbox avec un paragraphe par couche, un paragraphe sur les flux de donn\u00e9es et un paragraphe sur les cycles de correction est pr\u00e9f\u00e9rable \u00e0 un rapport parfait qui ne sera jamais finalis\u00e9.<\/p>\n Parcourir les SBOMs (Software Bills of Materials), v\u00e9rifier les images de conteneurs \u00e0 la recherche de paquets Cohere ou Terrarium, interroger directement les \u00e9quipes de d\u00e9veloppement. Des outils d’analyse de d\u00e9pendances automatiques comme Trivy, Snyk ou Grype trouvent g\u00e9n\u00e9ralement la r\u00e9f\u00e9rence de mani\u00e8re fiable, \u00e0 condition que les SBOMs soient \u00e0 jour.<\/p>\n E2B comme sandbox d’entreprise avec son propre mod\u00e8le d’isolation, Pyodide pour les sc\u00e9narios Python dans le navigateur, Firecracker-MicroVMs pour une s\u00e9paration stricte des conteneurs, nsjail pour les sandbox sp\u00e9cifiques \u00e0 Linux et Wasmtime pour l’isolation bas\u00e9e sur WebAssembly. Le choix d\u00e9pend du cas d’utilisation et du profil de performance.<\/p>\n Seulement si la deuxi\u00e8me couche est vraiment stricte, c’est-\u00e0-dire qu’aucune credential de production et aucun acc\u00e8s r\u00e9seau \u00e9tendu ne sont disponibles dans le conteneur sandbox. En pratique, la d\u00e9fense en profondeur (Defense-in-Depth) est meilleure : corriger ou remplacer la sandbox et renforcer en parall\u00e8le la couche de conteneur.<\/p>\n L’avis CERT\/CC VU#414811 documente la tentative de contact et l’absence de mise \u00e0 disposition correcte. Ce n’est pas unique dans les contextes open source et oblige les op\u00e9rateurs \u00e0 assumer leur propre responsabilit\u00e9 en mati\u00e8re de mitigation et de d\u00e9cision de poursuite des op\u00e9rations.<\/p>\n Particuli\u00e8rement critique, car un attaquant avec un acc\u00e8s root dans le conteneur sandbox peut potentiellement atteindre les donn\u00e9es d’autres locataires si l’isolation est insuffisante. Les op\u00e9rateurs multi-tenants devraient imm\u00e9diatement pr\u00e9parer une communication client et proc\u00e9der \u00e0 une analyse forensique des 30 derniers jours.<\/p>\n Un r\u00f4le central. M\u00eame si le correctif ou la mitigation est efficace, des incertitudes persistent. Un monitoring sp\u00e9cifique des activit\u00e9s suspectes de la sandbox, des acc\u00e8s \u00e0 \/etc\/passwd et des connexions de sortie de conteneur inhabituelles devrait \u00eatre actif pendant au moins 90 jours.<\/p>\n Vercel-Breach via Context.ai OAuth : Attaques de la cha\u00eene d’approvisionnement 2026 sur les plateformes d’entreprise<\/a><\/p>\n Cisco Catalyst SD-WAN Manager : Trois CVEs sous attaque, d\u00e9lai CISA en avril<\/a><\/p>\nPoints cl\u00e9s<\/h2>\n
\n
Ce qu’est Terrarium et pourquoi ce bug est critique<\/h2>\n
Pourquoi ce bug est strat\u00e9giquement plus qu’un simple CVE<\/h2>\n
Ce que les op\u00e9rateurs doivent faire concr\u00e8tement maintenant<\/h3>\n
\n
Ce qui n’est pas un filet de s\u00e9curit\u00e9 fiable<\/h3>\n
\n
\u00c0 quoi ressemble un plan de mitigation de 10 jours<\/h2>\n
Ce que les \u00e9quipes de s\u00e9curit\u00e9 peuvent tirer structurellement de l’affaire Terrarium<\/h2>\n
Comment traduire la r\u00e9silience des bacs \u00e0 sable dans la communication du conseil d’administration<\/h2>\n
Que les r\u00e9gulateurs pourraient d\u00e9duire de l’affaire Terrarium<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Comment puis-je d\u00e9tecter de mani\u00e8re fiable si mon application utilise Terrarium ?<\/h3>\n
Quelles alternatives \u00e0 Terrarium seront \u00e9tablies en 2026 ?<\/h3>\n
Est-il suffisant d’isoler uniquement le conteneur sans corriger la sandbox ?<\/h3>\n
Que dit CERT\/CC au sujet du manque de coordination avec le fournisseur ?<\/h3>\n
Comment le bug affecte-t-il les environnements multi-tenants ?<\/h3>\n
Quel r\u00f4le joue le monitoring apr\u00e8s la mitigation ?<\/h3>\n
Conseils de lecture de la r\u00e9daction<\/h2>\n