Il a fallu neuf ans. Neuf ans pour que quelqu’un — ou plutôt quelque chose — repère ce qui se cachait au cœur du noyau Linux. La faille, désormais connue sous le nom de Copy Fail et référencée sous l’identifiant CVE-2026-31431, a été introduite en août 2017 dans le module de chiffrement authencesn. À l’époque, il s’agissait d’une simple optimisation, anodine sur le papier. En pratique ? Une bombe à retardement.
Notée 7,8 sur 10 sur l’échelle CVSS, la vulnérabilité permet à n’importe quel utilisateur local — sans le moindre privilège — d’écrire quatre octets dans le cache de pages d’un fichier lisible. Quatre octets. C’est ridiculement peu. Et pourtant, c’est suffisant pour modifier un binaire setuid en mémoire et obtenir les droits root. Autrement dit : le contrôle total de la machine.
Ce qui rend Copy Fail particulièrement glaçant, c’est la simplicité de l’exploit. Un script Python de 732 octets, dix lignes à peine, et c’est terminé. Pas de recompilation, pas de condition de course à remporter, pas de réglage fin selon la version du kernel. Ça marche. À tous les coups.
Une IA a réussi là où les humains ont échoué pendant neuf ans
Les chercheurs de la société Theori ont découvert la faille d’une façon qui a de quoi faire réfléchir. Taeyang Lee identifie un angle d’attaque potentiel, puis lance Xint Code, l’outil d’audit assisté par intelligence artificielle développé en interne, sur l’ensemble du sous-système crypto/ du noyau. Résultat : une heure de scan, un seul prompt, et Copy Fail remonte en tête de liste. Avec, en prime, d’autres vulnérabilités encore sous embargo.
Des dizaines de contributeurs expérimentés avaient relu ce code pendant neuf ans. Ils n’avaient rien vu. Une IA, elle, a fait le travail en moins d’une pause déjeuner. C’est inconfortable à admettre, mais c’est là.
Ni Dirty Cow, ni Dirty Pipe — mais pire à bien des égards
Les amateurs de Linux se souviennent de Dirty Cow en 2016, puis de Dirty Pipe en 2022. Même famille, mêmes effets dévastateurs. Sauf que Copy Fail va plus loin dans la fiabilité. Dirty Cow exigeait de gagner une course contre la montre — parfois plusieurs tentatives, parfois un crash. Dirty Pipe dépendait de la version exacte du kernel.
Copy Fail, lui, appartient à une catégorie redoutée par les chercheurs : le straight-line logic bug. Une faille déterministe. Le même script fonctionne sur des kernels allant de la version 6.12 à 6.18, sur architecture x86 comme sur ARM. Pas de hasard, pas de timing. Juste une logique cassée, exploitable à la demande.
Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ce type de vulnérabilité à élévation de privilèges locaux représente une menace sérieuse dans les environnements partagés et mutualisés, en particulier lorsqu’une première compromission a déjà eu lieu.
Qui doit vraiment s’inquiéter ?
Soyons clairs : Copy Fail n’est pas exploitable à distance. Pour en tirer parti, un attaquant doit déjà disposer d’un accès local à la machine, même en tant que simple utilisateur. Pour un particulier sur son laptop Ubuntu, le risque concret reste limité — tant que personne d’autre n’a accès à la session.
Mais voilà le problème : cet accès initial, les attaquants l’obtiennent souvent. Une faille web qui fournit un shell, un compte SSH compromis, un runner de CI mal isolé… Copy Fail devient alors un multiplicateur de dégâts. On entre avec peu de droits, on repart avec tout.
Les environnements les plus exposés sont sans équivoque :
- Les hébergeurs et administrateurs de serveurs partagés, où plusieurs utilisateurs cohabitent sur un même système
- Les clusters Kubernetes reposant sur un noyau partagé entre conteneurs — un modèle d’isolation qui montre ici ses limites
Que faire maintenant ?
La réponse est simple, et elle ne souffre aucun délai : mettre à jour le kernel. Le correctif annule l’optimisation de 2017 dans le fichier algif_aead.c. Debian, Ubuntu et SUSE ont publié leurs patchs rapidement. Red Hat a d’abord temporisé avant de s’aligner. L’exploit est déjà public sur GitHub — chaque heure compte.
Pour les environnements Kubernetes ou les serveurs partagés, une revue du modèle d’isolation s’impose en parallèle. La mise à jour corrige le bug ; revoir l’architecture, elle, prépare à la prochaine fois.
FAQ — Tout comprendre sur la faille Copy Fail
C’est une vulnérabilité du noyau Linux (CVE-2026-31431) qui permet à un utilisateur local sans privilège d’obtenir les droits root via un script Python de 732 octets, en exploitant un bug dans le module de chiffrement authencesn.
Toutes les grandes distributions utilisant un noyau depuis août 2017 sont concernées : Ubuntu, Debian, RHEL, SUSE, Amazon Linux, entre autres.
Non. Un accès local à la machine est impérativement nécessaire. Cela dit, cet accès initial peut facilement provenir d’une autre faille (web, SSH, CI/CD…).
En mettant à jour le noyau Linux immédiatement. Des correctifs sont disponibles pour Debian, Ubuntu, SUSE et Red Hat.
Par une intelligence artificielle ! L’outil Xint Code, développé par la société Theori, a identifié la vulnérabilité en une heure d’analyse — alors qu’elle était passée inaperçue neuf ans durant lors des revues humaines.
C’est une faille déterministe : contrairement à d’autres exploits qui nécessitent du timing ou de la chance, celui-ci fonctionne à coup sûr, sans condition particulière à réunir.
