Une vulnérabilité découverte par des chercheurs en sécurité permet à n’importe quel utilisateur local de prendre le contrôle total d’un système Linux, sur la quasi-totalité des distributions existantes. L’exploit tient en 732 octets de Python.

Il existe des failles que l’on remarque une fois qu’elles ont été exploitées, des incidents, des traces dans les logs. Et puis il en existe d’autres, plus discrètes, qui dorment dans des millions de systèmes pendant des années sans laisser aucune empreinte. Copy Fail appartient à cette deuxième catégorie.

Divulguée le 29 avril 2026 par les chercheurs de Theori via leur outil Xint Code, la vulnérabilité CVE-2026-31431 touche le noyau Linux dans sa configuration standard. Elle permet à un utilisateur ordinaire, sans aucun privilège particulier, d’obtenir les droits root, c’est-à-dire un contrôle total sur la machine.

Le tout avec un script de 732 octets écrit en Python, utilisant uniquement des bibliothèques standard.

Bitdefender logo black
Box Bit 3
Faux SMS, mails frauduleux… Ne tombez plus dans le piège !
Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security.
Je me protège contre les arnaques.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Concrètement, c’est quoi CopyFail ?

Pour comprendre Copy Fail, il faut d’abord comprendre ce qu’est le « page cache ». Quand votre système lit un fichier, Linux en conserve une copie en mémoire vive pour accélérer les accès futurs. Cette zone mémoire est ce que le noyau consulte réellement lors de l’exécution d’un programme. Si vous modifiez le page cache d’un fichier, vous modifiez ce que le système va exécuter, sans jamais toucher au fichier sur le disque.

Pour atteindre ce page cache, Copy Fail passe par le sous-système cryptographique du noyau, accessible à n’importe quel programme sans privilège. En combinant deux appels système rarement associés, un attaquant peut glisser une référence directe à un fichier système dans une opération de déchiffrement, et y écrire quatre octets au passage. Suffisant pour modifier ce que le noyau va exécuter, sans jamais toucher au fichier sur le disque. Les outils de vérification d’intégrité, eux, n’y voient rien.

À noter que la faille dépasse le seul serveur isolé. Le page cache étant partagé entre tous les processus d’un même hôte, une exploitation depuis un conteneur peut affecter l’ensemble de la machine et les autres environnements comme les plateformes cloud, les pipelines CI/CD et les sandboxes d’agents IA.

Un exploit presque parfait

Ce qui distingue Copy Fail, c’est sa fiabilité. La plupart des failles de ce type comme Dirty Cow reposent sur du timing : l’attaquant doit déclencher deux opérations dans le bon ordre, au bon moment, et recommencer si ça rate. Copy Fail n’a pas ce problème et repose sur un défaut logique pur. Le même script Python fonctionne ainsi à l’identique sur Ubuntu, Amazon Linux, RHEL ou encore SUSE, ne nécessite pas de compilation, pas d’installation de dépendances, et utilise uniquement la bibliothèque standard Python 3.10+.

L’autre dimension notable de Copy Fail est la manière dont il a été trouvé. La faille a été identifiée en une heure par un outil d’analyse automatisée, à partir d’une simple hypothèse formulée par un chercheur. Un rappel que l’IA change drastiquement la vitesse à laquelle ce type de vulnérabilité peut être découvert, dans les deux sens.

Le correctif est disponible depuis le 1er avril dans la branche principale du noyau Linux. Les principales distributions ont poussé des mises à jour. En attendant de patcher, il est aussi possible de désactiver le module vulnérable en une commande : « echo « install algif_aead /bin/false » > /etc/modprobe.d/disable-algif-aead.conf »

une comparateur meilleur vpn numerama
Cet article existe grâce à

Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.

Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !