Ubuntu 26.04 LTS : les nouveautés attendues

Ubuntu 26.04 LTS, nom de code Resolute Raccoon, va succéder à Ubuntu 24.04 LTS (Noble Numbat). La version finale est prévue le 23 avril 2026. Le noyau est gelé depuis le 9 avril, et la Release Candidate est attendue le 16 avril.

Le contenu est massif : bureau refondu, utilisation du noyau Linux 7.0, outils système réécrits en Rust, cryptographie post-quantique activée par défaut et une pile serveur largement renouvelée. Tour d’horizon des principales nouveautés, sur la base des release notes déjà publiées.

S’agissant d’une LTS cette version recevra des mises à jour de sécurité et de maintenance jusqu’en avril 2031, soit une durée de support de 5 ans pour les éditions Desktop et Server, et 10 ans pour les éditions ESM (Extended Security Maintenance).

Étapes restantes du calendrier :

Bureau : GNOME 50 et la fin de X.org

Le bureau passe de GNOME 46 à GNOME 50. Parmi les apports notables : le lancement automatique d’applications depuis les paramètres, un fractional scaling optimisé pour réduire le flou et l’installation par défaut de Sysprof pour le profilage de performances.

Plusieurs applications historiques sont remplacées :

• Visionneuse de documents : Papers remplace Evince (GTK4, partiellement réécrit en Rust)
• Visionneuse d’images : Loupe remplace Eye of GNOME (Rust, bibliothèque Glycin)
• Terminal : Ptyxis remplace GNOME Terminal
• Lecteur vidéo : Showtime remplace Totem

Côté applications mises à jour : Firefox 149/150, LibreOffice 25.8, Thunderbird 140 “Eclipse” et GIMP (GNU Image Manipulation Program) 3.0.

La session de bureau GNOME fonctionne désormais exclusivement sous Wayland, le support X.org ayant été abandonné dans GNOME Shell. Les applications X.org restent utilisables via XWayland et les machines Nvidia sont pleinement compatibles. Le support JPEG XL est natif, et l’accélération vidéo matérielle VA-API (AMD, Intel) est activée par défaut.

Noyau et système de base

Noyau Linux 7.0

Le noyau passe de la version 6.8 à 7.0. Les crash dumps sont activés par défaut, et le nouveau scheduler sched_ext permet d’implémenter des politiques d’ordonnancement en eBPF depuis l’espace utilisateur. Le paquet linux-lowlatency est retiré au profit d’une combinaison linux-generic + lowlatency-kernel.

systemd 259

Passage de la version 255 à 259. Changements importants :

• Le support de cgroup v1 a été supprimé
• Le répertoire /tmp est désormais un tmpfs par défaut
• C’est la dernière version à assurer la compatibilité avec les scripts System V

APT 3

Le gestionnaire de paquets passe à la version 3.1. Le nouveau solveur de dépendances prend le relais automatiquement en cas d’échec du solveur classique. APT utilise désormais OpenSSL (au lieu de GnuTLS), dispose d’un pager automatique pour apt show et apt list, et la commande apt-key a été définitivement supprimée.

Dracut remplace initramfs-tools

L’infrastructure de disque initial (initrd) passe à Dracut, qui utilise systemd dans l’initrd et supporte le Bluetooth et NVMe-oF. L’ancien initramfs-tools reste disponible en cas de besoin.

Composants réécrits en Rust

Ubuntu 26.04 LTS poursuit l’effort de réécriture des composants critiques en Rust :

• sudo-rs devient le fournisseur sudo par défaut (l’original est renommé sudo.ws)
• rust-coreutils fournit les utilitaires de base du système, avec des gains de performances significatifs (notamment base64)

Dans les deux cas, les versions traditionnelles restent disponibles pour la compatibilité.

Sécurité

Chiffrement intégral TPM prêt pour la production

Le chiffrement intégral du disque adossé au TPM (TPM-backed FDE) quitte le statut expérimental. La gestion de la clé de récupération lors des mises à jour firmware est désormais prévisible, et les incompatibilités connues (Absolute/Computrace) sont documentées. Le nouveau Security Center permet de vérifier et gérer l’état du chiffrement, le Secure Boot et les mécanismes de récupération après le déploiement.

Cryptographie post-quantique par défaut

OpenSSH 10.2 active par défaut l’échange de clés hybride post-quantique mlkem768x25519-sha256. Ce choix semble répondre à une menace concrète : le harvest now, decrypt later (HNDL). Un attaquant peut capturer aujourd’hui du trafic SSH chiffré et le stocker en attendant de disposer d’un ordinateur quantique capable de casser les algorithmes classiques (RSA, ECDH). À ce moment, tout le trafic archivé devient lisible.

L’approche hybride combine deux algorithmes dans un même échange de clés :

• ML-KEM 768 (anciennement CRYSTALS-Kyber) : algorithme post-quantique standardisé par le NIST (FIPS 203), résistant aux attaques quantiques.
• X25519 : algorithme à courbes elliptiques classique, éprouvé.

La clé de session n’est valide que si les deux composants sont intacts. Si ML-KEM s’avérait vulnérable à une attaque classique inconnue, X25519 assure la sécurité. Si un ordinateur quantique brise X25519, ML-KEM protège la connexion. Cette doctrine du double filet est recommandée par l’ANSSI et le BSI pour la période de transition vers la cryptographie post-quantique. Le NIST, qui a standardisé ML-KEM comme algorithme autonome (FIPS 203), considère l’approche hybride comme acceptable sans pour l’instant l’imposer dans sa doctrine.

Le support DSA est entièrement supprimé et les clés DSA hôtes ne sont plus générées. Le serveur SSH ne lit plus ~/.pam_environment, réduisant les risques d’injection d’environnement.

Confidential Computing : SEV-SNP et TDX

Ubuntu 26.04 LTS intègre le support complet hôte et invité pour AMD SEV-SNP et Intel TDX, permettant d’exécuter des machines virtuelles dont la mémoire est chiffrée et protégée par le processeur.

AppArmor et confinement

De nouveaux profils AppArmor sont livrés pour confiner davantage d’applications. Un système expérimental de prompting de permissions permet un contrôle plus granulaire des accès des applications snap aux ressources système.

Secure Boot et firmware

NX (No-Execute) est activé sur toutes les variantes Secure Boot. Les paquets firmware OVMF sont alignés avec les technologies de virtualisation sécurisée (SEV, TDX).

Services d’identité

• SSSD s’exécute désormais sous l’utilisateur dédié sssd au lieu de root
• OpenLDAP fonctionne en mode AppArmor enforce
• authd est introduit comme framework d’authentification cloud (OpenID Connect, MFA)

Pile serveur

Bases de données

• PostgreSQL 18 : nouveau sous-système d’E/S (jusqu’à 3× plus rapide en lecture), colonnes virtuelles générées, fonction uuidv7(), authentification OAuth 2.0
• MySQL 8.4 LTS : première version LTS officielle de MySQL
• Valkey 9.0 : migrations atomiques de slots, expiration de champs de hachage
• DocumentDB 0.108 : nouvelle entrée dans les dépôts, base documentaire compatible MongoDB construite sur PostgreSQL

Web et réseau

• Apache 2.4.66 et Nginx 1.28.2 : TLS 1.0/1.1 désactivés par défaut, conformité RFC 8996
• HAProxy 3.2 : support QUIC amélioré, performances en hausse
• Squid 7.2 : requêtes DNS over HTTPS (doh_query), journalisation des clés TLS

Langages et frameworks

• PHP 8.5 : property hooks, opérateur pipe (|>), array_first()/array_last(), visibilité asymétrique
• Django 5.2 LTS (depuis 4.2)

Messagerie et annuaire

• Samba 4.23 : extensions Unix SMB3 activées par défaut, NetBIOS désactivé par défaut, Group Managed Service Accounts
• Postfix 3.10 : plus de chroot par défaut
• Dovecot 2.4 : changements importants du format de configuration
• Chrony remplace systemd-timesyncd comme démon de temps par défaut, avec NTS (NTP chiffré et authentifié)

Développement

Les chaînes de compilation reçoivent des mises à jour majeures :

Zig 0.14.1 fait son entrée dans les dépôts Ubuntu. OpenJDK 25 est certifié TCK sur AMD64, ARM64, S390X et PPC64EL. GraalVM Community Edition est disponible en snap.

Support matériel

• NVIDIA Dynamic Boost activé par défaut sur les portables compatibles
• Intel Arc B580/B570 « Battlemage » et GPU intégrés Xe2 pleinement supportés, avec ray tracing matériel
• Suspend/resume corrigé pour le pilote propriétaire Nvidia
• Image ARM64 Desktop officielle pour VMs, plateformes ACPI+EFI et Snapdragon X Elite
• NTSYNC : meilleure compatibilité pour les jeux Windows via Wine/Proton
• Raspberry Pi : nouveau schéma de boot A/B pour fiabiliser les mises à jour firmware, image basée sur desktop-minimal

Exigences minimales revues à la hausse

Ubuntu 26.04 LTS relève le ticket d’entrée sur plusieurs fronts :

• RAM Desktop : 6 Go minimum (contre 4 Go pour Ubuntu 24.04 LTS). C’est la première hausse d’exigence mémoire sur une LTS Desktop depuis longtemps, probablement liée au passage à GNOME 50. Les prérequis serveur restent inchangés (1,5 Go pour une installation ISO). À noter : le minimum Desktop Ubuntu dépasse désormais celui de Windows 11 (4 Go).
• Pour Ubuntu Server entre 1,5 go et 2 Go sont recommandés selon les cas d’usage.
• IBM Z (s390x) : le niveau architectural minimal passe à z15 (LinuxONE III). Les générations z14 et antérieures ne sont plus supportées, le système bloque la mise à niveau. La compilation s’appuie désormais sur march=z15 / mtune=z16, ce qui améliore les performances sur les générations récentes
• RISC-V : seul le profil ISA RVA23S64 est supporté (contre RVA20 pour Ubuntu 24.04 LTS). Aucun matériel compatible n’est encore disponible, seul QEMU avec le profil -cpu rva23s64 est pris en charge
• cgroup v1 abandonné : systemd 259 supprime complètement le support des hiérarchies cgroup v1 (legacy et hybrid). Les installations utilisant cgroup v1 ne peuvent pas être mises à niveau, et les conteneurs exigeant cgroup v1 (antérieurs à Ubuntu 18.04) ne fonctionneront plus
• Fin du 32 bits pour certains composants : MySQL Server et PostgreSQL 18 ne sont plus compilés pour i386. Les paquets libpq-dev et libpq5 disparaissent aussi de cette architecture, entraînant les paquets qui en dépendent. Samba perd également python3-samba sur i386

Sources

• Ubuntu 26.04 LTS - Summary for LTS users
• What’s new in security for Ubuntu 26.04 LTS?