Le code d'exploit publié publiquement pour une vulnérabilité effectivement non corrigée qui donne un accès root à pratiquement toutes les versions de Linux fait sonner l'alarme alors que les défenseurs se précipitent pour éviter des compromissions graves au sein des centres de données et sur les appareils personnels. La vulnérabilité et le code d'exploit qui l'exploite ont été publiés mercredi soir par des chercheurs de la société de sécurité **Theori**, cinq semaines après les avoir divulgués en privé à l'équipe de sécurité du noyau Linux. L'équipe a corrigé la vulnérabilité dans les versions 7.0, 6.19.12, 6.18.12, 6.12.85, 6.6.137, 6.1.170, 5.15.204 et 5.10.254), mais peu de distributions Linux avaient intégré ces correctifs au moment de la publication de l'exploit. ## Un seul script pour tous les pirater La faille critique, suivie sous le nom **CVE-2026-31431** et baptisée CopyFail, est une élévation de privilèges locale, une classe de vulnérabilité qui permet aux utilisateurs non privilégiés de s'élever au rang d'administrateurs. CopyFail est particulièrement grave car elle peut être exploitée avec un seul morceau de code d'exploit – publié dans la divulgation de mercredi – qui fonctionne sur toutes les distributions vulnérables sans modification. Avec cela, un attaquant peut, entre autres, pirater des systèmes multi-locataires, s'échapper de conteneurs basés sur Kubernetes ou d'autres frameworks, et créer des requêtes de tirage malveillantes qui font passer le code d'exploit par les flux de travail CI/CD. « L'« élévation de privilèges locale » semble aride, alors laissez-moi vous l'expliquer », a écrit le chercheur Jorijn Schrijvershof jeudi. « Cela signifie : qu'un attaquant qui a déjà un moyen d'exécuter du code sur la machine, même en tant qu'utilisateur non privilégié le plus banal, peut se promouvoir en root. À partir de là, il peut lire tous les fichiers, installer des backdoors, surveiller tous les processus et pivoter vers d'autres systèmes. » Schrijvershof a ajouté que le même script Python que Theori a publié fonctionne de manière fiable pour Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 et Debian 12. Le chercheur a poursuivi : *Pourquoi est-ce important sur une infrastructure partagée ? Parce que « local » couvre beaucoup de terrain en 2026 : chaque conteneur sur un nœud Kubernetes partagé, chaque locataire sur un serveur d'hébergement partagé, chaque tâche CI/CD qui exécute du code de requête de tirage non fiable, chaque instance WSL2 sur un ordinateur portable Windows, chaque agent IA conteneurisé ayant un accès shell. Ils partagent tous un noyau Linux avec leurs voisins. Une LPE du noyau effondre cette frontière.* *La chaîne de menaces réaliste ressemble à ceci. Un attaquant exploite une vulnérabilité connue d'un plugin WordPress et obtient un accès shell en tant que www-data. Il exécute le PoC copy.fail. Il est maintenant root sur l'hôte. Tous les autres locataires sont soudainement accessibles, de la manière dont j'ai décrit dans cet article de post-mortem de piratage. La vulnérabilité ne permet pas à l'attaquant d'entrer dans la boîte ; elle change ce qui se passe dans les dix secondes qui suivent son arrivée là-bas.* La vulnérabilité découle d'une faille logique « en ligne droite » dans l'API cryptographique du noyau. De nombreux exploits exploitant des conditions de concurrence et des failles de corruption de mémoire ne réussissent pas de manière cohérente sur les versions du noyau ou les distributions, et parfois même sur la même machine. Parce que le code publié pour CopyFail exploite une faille logique, « la fiabilité n'est pas probabiliste, et le même script fonctionne sur les distributions », ont écrit les chercheurs de **Bugcrowd**. « Pas de fenêtre de concurrence, pas de décalage du noyau. » CopyFail tire son nom du fait que le processus de modèle AEAD authencesn (utilisé pour les numéros de séquence étendus IPsec) ne copie pas réellement les données lorsqu'il le devrait. Au lieu de cela, il « utilise le tampon de destination de l'appelant comme zone de travail temporaire, écrit 4 octets au-delà de la région de sortie légitime, et ne les restaure jamais », a déclaré Theori. « La « copie » des octets AAD ESN « échoue » à rester à l'intérieur du tampon de destination. » ## La pire vulnérabilité Linux depuis des années D'autres experts en sécurité ont fait écho à la perspective que CopyFail représente une menace sérieuse, l'un d'eux affirmant qu'il s'agit de la « pire vulnérabilité « make-me-root » du noyau ces derniers temps ». La vulnérabilité Linux la plus récente de ce type était Dirty Pipe en 2022 et Dirty Cow en 2016. Ces deux vulnérabilités ont été activement exploitées dans la nature. Les distributeurs Linux s'en tiennent fréquemment à d'anciennes versions du noyau et y rétroportent des correctifs. Rien dans la date limite de divulgation n'indique que Theori ait jamais contacté les distributeurs. Avec l'exploit disponible avant que les distributions corrigées ne soient disponibles, la divulgation équivaut à quelque chose de très similaire à la publication d'une vulnérabilité zero-day, bien que le terme plus strict soit probablement « écart de patch zero-day ». « L'organisation qui a procédé à la divulgation... a fait un travail absolument épouvantable de coordination de la vulnérabilité », a déclaré Will Dormann, analyste principal des vulnérabilités chez **Tharros Labs**, dans une interview. « Ce qui me laisse perplexe, c'est que dans leur rapport, ils (A) listent 4 fournisseurs affectés et (B) disent aux lecteurs d'appliquer les correctifs des fournisseurs. Mais avant de publier, ils n'ont pas pris la peine de voir si l'un des fournisseurs qu'ils listent AVAIT RÉELLEMENT DES CORRECTIFS. (Aucun ne l'a fait). » Les tentatives pour contacter des représentants de Theori n'ont pas abouti. Les distributions connues pour avoir corrigé la vulnérabilité incluent Arch Linux et RedHat Fedora. Celles connues pour avoir publié des conseils d'atténuation au moment où ce message a été publié incluent : * SUSE * Debian Il est conseillé aux utilisateurs de mettre à jour leurs systèmes immédiatement et d'appliquer les correctifs ou les mesures d'atténuation disponibles.