Ingress NGINX abandonné: un risque critique pour les infrastructures Kubernetes
Kubernetes a définitivement retiré Ingress NGINX en mars 2026, un composant encore utilisé par près de la moitié des environnements cloud natifs. Sans correctifs ni mises à jour de sécurité, les équipes doivent désormais identifier les clusters concernés et planifier une migration vers la Gateway API ou une alternative maintenue.
Kubernetes a annoncé le retrait définitif du contrôleur Ingress NGINX, effectif depuis mars 2026. Selon les données de télémétrie de Datadog, rapportées par Kubernetes, il reste utilisé dans environ 50% des environnements cloud natifs. Depuis cette échéance, le projet ne reçoit plus aucune mise à jour, correction de bug ni correctif de sécurité. Les déploiements existants continuent de fonctionner, mais sans garantie de sécurité ni de compatibilité avec les futures versions de Kubernetes.
Malgré sa large adoption, le projet souffrait d’un manque chronique de contributeurs et n’était maintenu que par une ou deux personnes travaillant sur leur temps libre. Face à l’accumulation de la dette technique et à des choix de conception aggravant certaines failles de sécurité, l’arrêt du projet s’est imposé. Ces difficultés ont été accentuées par plusieurs vulnérabilités critiques, dont la faille IngressNightmare (CVE-2025-1974), notée 9,8, suivie en février 2026 de quatre nouvelles CVE de haute sévérité.
Kubernetes estime que l’absence de migration représente un risque sérieux pour une part significative des utilisateurs. Les administrateurs peuvent vérifier si leurs clusters dépendent encore du contrôleur en interrogeant les pods actifs sur l’ensemble des namespaces, une opération qui nécessite des droits d’administrateur sur le cluster.
Migration vers Gateway API et alternatives open source
Poursuivre l’utilisation de cet outil non maintenu laisse les applications et leurs utilisateurs exposés à de futures attaques. La communauté Kubernetes recommande d’entamer une transition architecturale vers la Gateway API, présentée comme la direction à long terme de l’écosystème. Cette alternative apporte une architecture orientée rôles, des interfaces de programmation standardisées et une meilleure portabilité.
La transition représente toutefois un changement architectural majeur, parfois complexe à mettre en œuvre dans les environnements existants, précise notamment la société genevoise e-Xpert Solutions dans son analyse des options de migration. Cette dernière met également en avant le F5 NGINX Ingress Controller comme alternative activement maintenue sous licence open source Apache 2.0.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
