Alerte sécurité : un hack prend le contrôle des PC Linux
Une faille critique du noyau Linux, baptisée Copy Fail, permet à n’importe quel utilisateur local de devenir root avec un script Python de 732 octets. Toutes les distributions importantes depuis 2017 sont concernées, et le correctif annule l’optimisation de 2017 dans algif_aead.c.
Une faille critique du noyau Linux, désignée Copy Fail, permet à n’importe quel utilisateur local d’accéder aux privilèges root grâce à un script Python de 732 octets. Toutes les distributions majeures depuis 2017 sont touchées, et l’exploit est déjà disponible sur GitHub.
Une intelligence artificielle a réussi à identifier en une heure cette vulnérabilité qui existe depuis neuf ans.
La faille, référencée comme CVE-2026-31431 et nommée Copy Fail par les chercheurs de Theori, a une note de 7,8 sur 10 sur l’échelle CVSS. Elle exploite un bogue dans le module de chiffrement *authencesn* du noyau, introduit en août 2017 dans le cadre d’une optimisation considérée comme banale.
Concrètement, un utilisateur sans privilège peut écrire quatre octets contrôlés dans le cache de pages de n’importe quel fichier lisible, suffisant pour altérer un binaire *setuid* en mémoire et obtenir l’accès root. Les distributions majeures le sont toutes : Ubuntu, Debian, RHEL, SUSE, Amazon Linux. Le script de démonstration est concise, tenant en dix lignes et 732 octets, et fonctionne du premier coup, sans nécessiter de recompilation, sans *race condition*, et sans ajustement par version du noyau.
Les experts en Linux se rappellent forcément de Dirty Cow (2016) et Dirty Pipe (2022). Bien que de la même famille et ayant des effets dévastateurs, Copy Fail se distingue par sa fiabilité supérieure. Dirty Cow nécessitait de gagner une condition de course, engendrant parfois plusieurs essais ou des plantages. Dirty Pipe, quant à lui, dépendait de la version du noyau.
Copy Fail est ce que les chercheurs qualifient de *straight-line logic bug* : une faille déterministe qui fonctionne à tous les coups. Il n’y a pas de timing à respecter ni d’offset à deviner. Le même script Python fonctionne sur les kernels 6.12 à 6.18, que ce soit sur x86 ou ARM.
Un aspect qui rend la situation encore plus préoccupante est la méthode de découverte. Le chercheur Taeyang Lee a identifié un angle d’attaque prometteur, puis a utilisé Xint Code, l’outil d’audit assisté par IA de Theori, pour scanner l’ensemble du sous-système *crypto/* du noyau. Une heure de recherche a suffi. Un seul prompt a permis à Copy Fail de sortir en tête de liste, accompagné d’autres vulnérabilités encore sous embargo. Une vulnérabilité qui a échappé à neuf ans de revues humaines a été dénichée par une IA en moins de temps qu’un déjeuner.
La bonne nouvelle est que Copy Fail n’est pas exploitable à distance. Il faut déjà avoir un accès physique à la machine, en tant qu’utilisateur ordinaire. Cependant, il faut noter que de nombreux attaquants ont déjà réussi à s’introduire dans la machine : par l’intermédiaire d’une faille web fournissant un shell, d’un compte SSH compromis ou d’un *runner* de CI mal sécurisé.
De manière concrète, Copy Fail agit comme un multiplicateur de risque. Pour un particulier utilisant un PC portable Ubuntu, le risque réel est faible tant qu’aucune autre personne n’a accès à sa session. En revanche, pour les hébergeurs, les administrateurs de serveurs partagés et spécialement les utilisateurs de Kubernetes, la situation est plus complexe. Si votre modèle d’isolation repose sur « des conteneurs sur un noyau partagé », il est impératif de reconsidérer vos pratiques.
Debian, Ubuntu et SUSE ont d’ores et déjà publié des correctifs. Red Hat, après un certain délai, a également suivi le mouvement. La procédure à suivre est simple : mettre à jour le noyau dès maintenant. Le correctif annule l’optimisation de 2017 dans *algif_aead.c*.
