Hmmmm j’ai l’impression que open a est plus proche d’un virtualisateur.

LXC/Docker est beaucoup plus proche de chroot que de la virtualisation.

Et plus quand je dit Linux only, je parle de docker bien sûr.

On va me dire "oui mais docker marche sur Mac OS X et Windows"
La response est oui et non. L’interface oui. Comment ça marche derrière est très différent, sous MacOS X et Windows ils utilise la virtualisation (base sur Vbox de mémoire) pour avoir l’environement Linux.

Et oui je parle bien de compromission du kernel, docker ne peux rien faire pour protéger si le kernel est compromis (au même titre sur un virus est capable d’attaquer une VM art sortir vers l’hote bient entendu, c’est juste un poil plus compliqué parce que demande généralement de faire un privilège escalation avant de pourvoir attaquer la VM.