Copy Fail (CVE-2026-31431) est une faille de sécurité assez majeure qui a été rendue publique en fin de semaine dernière. Elle exploite un bug dans le noyau de Linux qui permet à n’importe quel utilisateur sur la machine d’obtenir des droits administrateurs, autrement dit, une porte ouverte sur tout le système et ses fichiers. Si cette vulnérabilité est dangereuse dans toutes les situations, elle devient redoutable dans le monde des serveurs. C’est d’autant plus vrai pour ceux qui reposent sur un système de virtualisation comme Docker, où chaque instance est en théorie isolée du reste du système.
Le bug sous-jacent n’est pas récent, la brèche exploitant une modification apportée en 2017 au kernel Linux. Pendant près de dix ans, elle n’a jamais été rendue publique et c’est une intelligence artificielle qui a mis les chercheurs en sécurité sur la piste. Elle illustre bien l’efficacité des grands modèles de langage pour dénicher des failles et elle ne sera certainement pas la dernière du genre. Il faut dire que Copy Fail repose sur plusieurs fonctionnalités différentes, utilisées d’une manière bien spécifique pour obtenir les droits root sans les autorisations adéquates. Les plus curieux pourront lire les explications complètes et très techniques [dans cet article.
Les IA excellent sur ces explorations transversales qui permettent de tisser des liens entre des éléments qui n’ont normalement rien à voir. Trois modifications du noyau Linux — une publiée en 2011, la deuxième en 2015 et enfin la troisième en 2017 — sont nécessaires pour aboutir à une vulnérabilité exploitable. Surtout, chaque changement pris indépendamment ne pose aucun problème : c’est bien l’association des trois qui forme la faille et personne à l’époque n’a fait le rapprochement.
Mythos : Anthropic juge son nouveau modèle trop dangereux pour être publié
Copy Fail est d’autant plus redoutable que son exploitation est très simple. Dès lors que l’on a accès à l’ordinateur via le terminal, 732 octets de code suffisent à obtenir les droits administrateurs sur n’importe quelle distribution Linux. Le code source de la preuve de concept (proof of concept, POC) est distribué sur GitHub et il suffit de dix lignes de Python pour exploiter la vulnérabilité partout, sans variation d’une distribution à l’autre.
Les correctifs sont déjà en place
Fort heureusement, le noyau Linux a été corrigé avant la diffusion de la nouvelle et la plupart des distributions proposent maintenant la version amendée. Un redémarrage n’est pas forcément nécessaire, ce qui simplifie sa mise en place. Si ce n’est pas le cas ou si, pour une raison ou une autre, vous ne pouvez pas installer les mises à jour, alors deux lignes de commande à exécuter avec les autorisations administrateur permettent de se prémunir contre la faille de sécurité en désactivant l’une des fonctionnalités nécessaires.
Ce correctif intermédiaire ne devrait pas gêner le bon fonctionnement de l’écrasante majorité des serveurs et ordinateurs personnels, mais il pourrait ralentir les performances. Mettre à jour le kernel reste la meilleure option pour se prémunir pleinement de cette faille, en attendant la prochaine…
