Ubuntu 26.04 met fin à 46 ans de saisie silencieuse du mot de passe `sudo`

 (pbxscience.com)
13 points par GN⁺ 2026-03-22 | 6 commentaires | Partager sur WhatsApp
  • Dans Ubuntu 26.04 LTS, un retour visuel avec des astérisques (*) à chaque caractère saisi lors de l’exécution de la commande sudo sera activé par défaut
  • Cette fonctionnalité a été rendue possible par l’adoption de sudo-rs, une réécriture de sudo en Rust, que Canonical a choisi comme sudo par défaut à partir d’Ubuntu 25.10
  • Certains utilisateurs s’y sont opposés en invoquant le risque d’exposer la longueur du mot de passe, mais les développeurs estiment que le risque est minime et mettent en avant la cohérence avec l’écran de connexion
  • Pour revenir au comportement historique, il suffit d’ajouter Defaults !pwfeedback dans le fichier sudoers, avec prise d’effet immédiate
  • Ce changement s’inscrit dans le cadre de la modernisation du système d’Ubuntu 26.04, aux côtés de GNOME 50, du noyau Linux 7.0 et de coreutils basé sur Rust

Histoire de la saisie du mot de passe sudo

  • En 1980, Bob Coggeshall et Cliff Spencer, à la SUNY Buffalo, ont développé le tout premier sudo
    • À l’époque, les terminaux étaient souvent partagés et l’affichage était totalement masqué pour éviter le « shoulder surfing »
    • Cette conception est ensuite restée en place pendant près de 46 ans dans toutes les grandes distributions Linux
  • Linux Mint a été la première à tenter un changement en activant par défaut un retour visuel dans sa propre configuration
    • Ubuntu et les autres grandes distributions ont longtemps conservé le mode silencieux historique

sudo-rs et l’évolution d’Ubuntu

  • sudo-rs est une implémentation qui réécrit entièrement en Rust le sudo historique écrit en C

    • Canonical l’a remplacé comme sudo par défaut dans Ubuntu 25.10, sans changement visible pour les utilisateurs
    • En février 2026, un patch activant pwfeedback par défaut a été fusionné dans l’upstream de sudo-rs
    • Canonical l’a intégré dans les builds de développement de la 26.04, déclenchant un débat dans la communauté
    • Chronologie principale
    • 1980 : développement du sudo original, avec saisie silencieuse par défaut
    • octobre 2025 : adoption de sudo-rs dans Ubuntu 25.10
    • février 2026 : fusion du patch activant pwfeedback par défaut
    • 23 avril 2026 : sortie prévue d’Ubuntu 26.04 LTS, avec affichage d’astérisques activé par défaut

Les deux positions dans le débat sur la sécurité

  • Position des critiques

    • L’affichage des astérisques révèle la longueur du mot de passe et affaiblit donc le modèle de sécurité historique
    • Un rapport de bug a été déposé en estimant que cela « casse une mesure de sécurité historique »

  • Réponse des développeurs

    • En pratique, le risque lié à la révélation de la longueur du mot de passe est jugé minime, car à proximité il est déjà possible d’en déduire une estimation via le bruit des frappes ou les mouvements des mains
    • Pour la plupart des utilisateurs, le mot de passe sudo est identique au mot de passe de connexion, lequel est déjà affiché sous forme de points sur l’écran de connexion
    • Maintenir uniquement le terminal en mode silencieux relèverait donc de la « security theatre »
    • Résumé comparatif
Élément sudo historique (silencieux) sudo-rs + pwfeedback
Retour visuel Aucun Astérisques à chaque frappe
Exposition de la longueur du mot de passe Non Oui
Cohérence avec l’écran de connexion Non Oui
Expérience des nouveaux utilisateurs Déroutante Permet de confirmer la saisie
Session SSH Silencieuse Affichage des astérisques conservé
Retour en arrière possible Oui (!pwfeedback)

Comment rétablir l’ancien comportement

  • Ouvrir le fichier sudoers avec la commande sudo visudo et ajouter la ligne suivante 
    Defaults !pwfeedback
  • Après enregistrement, le changement s’applique immédiatement dans une nouvelle session de terminal
  • Aucun redémarrage du système n’est nécessaire

La modernisation d’Ubuntu 26.04

  • Ce changement fait partie de la modernisation plus large du système dans Ubuntu 26.04 LTS « Resolute Raccoon »
    • Avec notamment GNOME 50 (Wayland uniquement), le noyau Linux 7.0 et coreutils basé sur Rust (uutils/coreutils)
    • Canonical renforce l’absence de risques mémoire et une expérience utilisateur moderne via l’adoption croissante de Rust
  • Le débat autour de l’affichage d’astérisques dans sudo-rs symbolise le conflit entre la philosophie Unix traditionnelle et l’UX moderne
    • Les utilisateurs peuvent revenir à tout moment à l’ancien comportement avec une seule ligne de configuration
    • Le choix par défaut privilégie l’idée que « mieux vaut satisfaire la majorité des utilisateurs qui préfèrent voir des astérisques que laisser les débutants déconcertés par un écran vide »
  • Ubuntu 26.04 LTS est prévu pour une sortie officielle le 23 avril 2026 et se trouve actuellement en développement
    • Le paquet sudo-ws existant n’est pas affecté par le changement de pwfeedback

À lire aussi

6 commentaires

 
sonnet 2026-03-22

Si le fait qu’on puisse deviner la longueur en regardant par-dessus l’épaule constitue une faille de sécurité grave, pourquoi n’impose-t-on pas alors des caches anti-regard sur tous les claviers ayant accès à un terminal Linux ? Il suffit simplement de regarder le clavier, ou d’enregistrer avec une caméra cachée, et c’est réglé.
 
ndrgrd 2026-03-22

Si quelqu’un est assez proche pour voir ça par-dessus votre épaule, il faudrait plutôt s’inquiéter du fait qu’il voie carrément vos doigts taper...
À cette distance, on pourrait aussi enregistrer le son lui-même et compter le nombre de caractères.
Si la sécurité vous préoccupe vraiment à ce point et que l’environnement est aussi sensible, il faut utiliser une clé de sécurité physique.
 
yukinpl 2026-03-22

Lorsque l’utilisateur se connecte via le terminal, le mot de passe n’est pas affiché, et lors d’un accès distant en ssh, il n’est pas non plus exposé. Jamais les mots de passe n’ont été affichés pour sudo, su, passwd, ssh ou la connexion au terminal. Seul l’écran de connexion GUI les affichait séparément. Au contraire, cette modification nuit encore davantage à la cohérence.
 
GN⁺ 2026-03-22
Avis Hacker News

  • Il est possible de choisir une configuration qui masque totalement tout retour visuel lors de la saisie du mot de passe
    Sur KDE, il faut ajouter ShowPasswordEcho=false à /etc/sddm.conf.d/hide-password.conf puis redémarrer,
    pour sudo, ajouter Defaults !pwfeedback à /etc/sudoers.d/password-no-visual-echo,
    et sur GNOME, modifier unlockDialog.js puis remplacer par set_password_char('') ou echo_char=null avant de redémarrer

    • Je me demande aussi s’il est possible de remplacer les caractères affichés par des emojis

  • Sur une connexion SSH à forte latence, j’ai souvent eu du mal à savoir si la saisie dans sudo était bien prise en compte
    Avec un mélange de VPN et d’authentification IAM, il n’était même pas clair si le nouveau mot de passe avait été appliqué
    Dans ce genre de situation, une fonction de retour sur la saisie du mot de passe serait vraiment utile. Ce serait encore mieux si Red Hat l’adoptait aussi

    • Je me souviens avoir échoué à l’installation de Mandrake Linux en 2004 parce que l’écran de saisie du mot de passe ne montrait aucune réaction
      Avec une autre UI, j’aurais probablement commencé Linux bien plus tôt
    • Il m’est arrivé bien trop souvent de réaliser en cours de route que j’avais mal saisi le mot de passe et de marteler la touche delete
    • J’ai aussi déjà eu un clavier défectueux, au point de taper le mot de passe dans un fichier texte pour le copier-coller ensuite
      C’est mauvais pour la sécurité, mais personne ne regardait par-dessus mon épaule
    • Sur un serveur distant, je pense qu’il vaut mieux éviter de saisir directement le mot de passe sudo et configurer plutôt un compte sans mot de passe et une authentification par clé publique
    • On peut au moins vérifier qu’il se passe quelque chose grâce au clignotement du curseur, donc ce n’est pas totalement « figé »

  • Il faudrait aussi corriger l’écran de connexion de macOS
    Le champ de mot de passe est beaucoup trop étroit et ne donne aucun retour lorsqu’on saisit un mot de passe long
    Si le clavier est instable, la connexion devient extrêmement pénible

    • Il m’est déjà arrivé, avec Capslock configuré comme touche de changement de langue, de ne plus pouvoir saisir de minuscules quand la machine était verrouillée, au point de devoir redémarrer
    • J’ai installé la dernière version de macOS sur un vieux Mac via Open Core Legacy Patcher (OCLP), et après la mise à niveau l’écran de connexion ajoutait 20 à 30 secondes de latence par touche
      Sur un mot de passe de 18 caractères, seuls 13 s’affichaient, ce qui m’a fait croire que la saisie s’était bloquée. Il m’a finalement fallu 30 minutes pour me connecter
    • Comme dans l’ancien Lotus 1-2-3, ce serait bien d’avoir un symbole différent qui change à chaque frappe, par exemple des hiéroglyphes
      La longueur du mot de passe serait certes révélée, mais du point de vue de l’utilisateur le retour de saisie serait beaucoup plus clair
      Une discussion à ce sujet est disponible sur Security StackExchange

  • J’aimerais bien une version humoristique qui affiche une fausse chaîne au lieu de ***
    Par exemple, faire apparaître un faux mot de passe comme « iloveyouiloveyou » ou « 12345612345 »

    • Quelque chose comme Lotus Notes, avec des hiéroglyphes différents à chaque frappe, serait aussi amusant
    • En revanche, ce type d’approche peut faciliter le comptage de la longueur du mot de passe par observation par-dessus l’épaule
    • Malgré tout, si je pouvais l’installer, je l’essaierais tout de suite

  • Je pense que cette décision est vraiment une bonne évolution
    C’est déroutant au début, mais on s’y habitue vite, et en pratique l’impact sur la sécurité est faible

    • Il faut toutefois rester prudent dans des scénarios à haut risque, comme avec des télescopes, la surveillance des lignes électriques ou des attaques par timing
    • Le mot de passe Linux de mon père ne faisait qu’un caractère, et je ne l’avais jamais remarqué pendant l’assistance à distance
      L’invite silencieuse cachait ce fait, mais de toute façon un mot de passe d’un seul caractère ne vaut rien
    • Autrefois, plusieurs personnes utilisaient le même ordinateur et révéler la longueur du mot de passe pouvait aider un attaquant
      Aujourd’hui c’est moins important, et on peut toujours revenir au mode silencieux si on le souhaite
    • Pour un attaquant qui regarde l’écran directement, observer le clavier est de toute façon plus efficace
      Au final, l’intérêt principal est l’amélioration de l’UX plus que de la sécurité

  • Donner un retour à chaque frappe est une bonne idée, mais autre chose qu’une simple correspondance 1:1 pourrait être préférable
    Par exemple, xsecurelock donne un retour en faisant bouger un point sur une ligne à chaque saisie
    Cela permet de masquer la longueur du mot de passe tout en conservant une sensation de retour
    Avec sudo, on peut obtenir le même effet avec Defaults !pwfeedback
    En pratique, si une attaque avec accès physique est possible, il existe déjà bien d’autres moyens de compromettre la machine, donc cela relève surtout d’une amélioration UX

    • Pour les personnes qui ont des mots de passe courts, révéler la longueur peut être plus risqué
    • À l’inverse, afficher la longueur saisie peut aussi être utile
      Quand on tape un mauvais mot de passe, c’est frustrant de ne pas savoir combien de caractères il faut effacer, et cette fonction résout justement ce problème

  • Il aurait peut-être suffi de proposer ce nouveau comportement uniquement comme option
    Changer la valeur par défaut peut exposer la longueur du mot de passe si l’on saisit sudo pendant un stream

    • Mais les streamers connaissent en général ce risque, et ouvrent souvent un shell root à l’avance ou désactivent la fonction
      D’ailleurs, on peut aussi estimer la longueur au bruit du clavier
    • Modifier la valeur par défaut aide la majorité des utilisateurs, tandis que le risque de sécurité reste minime
    • En pratique, ce n’est pas très grave tant qu’il ne s’agit pas du même mot de passe que le mot de passe local
      Et de toute façon, on utilise rarement sudo en plein direct
    • Le live streaming reste un cas particulier, donc conserver cette valeur par défaut est raisonnable
    • Pour améliorer l’accessibilité, il me semble préférable de l’activer par défaut

  • Quand quelqu’un saisit un mot de passe, il faudrait une culture qui consiste à se retourner
    Et inversement, si l’on voit une invite de mot de passe sur l’écran de quelqu’un d’autre, on devrait soi-même détourner le regard

  • Afficher des caractères rotatifs comme / - \\ | à chaque frappe pourrait donner un retour tout en cachant la longueur

    • Autrefois, certains logiciels, probablement de la famille Lotus Notes, affichaient un nombre aléatoire d’astérisques à chaque saisie
      Lors d’une suppression, le nombre diminuait selon la même logique, ce qui donnait un retour de frappe tout en brouillant la longueur réelle
    • Mais cela peut quand même perturber l’utilisateur, pour un gain concret quasi nul
    • Un attaquant peut aussi compter les frappes au bruit du clavier, donc cela ne change pas grand-chose
    • Pour les débutants sur Ubuntu, ce serait peut-être encore plus déroutant
    • À l’époque d’IBM Notes aussi, cette « incohérence du nombre d’astérisques » créait de la confusion chez les utilisateurs

  • Si sudo masque les mots de passe par défaut, c’est un héritage de l’époque des terminaux partagés et des imprimantes papier (tty)
    À l’époque, ce qui était saisi pouvait réellement être imprimé sur papier, d’où la nécessité de le cacher pour des raisons de sécurité

    • En outre, les séquences de contrôle pour afficher des caractères de substitution variaient selon les terminaux, ce qui rendait la compatibilité difficile
      Aujourd’hui, cela ne pose plus de problème dans la plupart des environnements, et le 1 % d’utilisateurs concernés peut revenir au réglage précédent via la configuration
 
kayws426 2026-03-22

Je suis contre cela.
 
kh0324 2026-03-22

Copier le Mac, remplacer ce qui marchait très bien par du Rust
Comme d’habitude, ils remettent ça aujourd’hui.