Presque toutes les versions du noyau Linux publiées depuis 2017 présentent une faille de sécurité critique exploitable par des méthodes étonnamment simples. Un petit fragment de code suffit à prendre le contrôle total du système. Des chercheurs en sécurité ont révélé une faille de sécurité appelée Copy Fail, référencée CVE-2026-31431. Ce fichier de quelques centaines d'octets seulement permet à un utilisateur lambda d'obtenir les privilèges root. Cette menace affecte la quasi-totalité des distributions Linux populaires. « L’expression “élévation de privilèges locale” peut paraître rébarbative, alors laissez-moi vous l’expliquer », écrit le chercheur Jorijn Schrijvershof. « Cela signifie qu’un attaquant qui dispose déjà d’un moyen d’exécuter du code sur un ordinateur, même en tant qu’utilisateur lambda et sans privilèges, peut obtenir les privilèges root. De là, il peut lire tous les fichiers, installer des portes dérobées, observer tous les processus et se connecter à d’autres systèmes. » Schrijvershof a ajouté que le même script Python fonctionne de manière fiable sur Ubuntu 22.04, Amazon Linux 2023, SUSE 15.6 et Debian 12. L'attaque ne requiert aucune préparation complexe ni conditions particulières. Un accès local au système suffit. Après l'exécution de l'exploit, un utilisateur non autorisé peut prendre le contrôle du système et agir en tant qu'administrateur. Des tests ont été menés sur plusieurs environnements, notamment Ubuntu et Red Hat Enterprise Linux. Les résultats ont été identiques. Le même code s'exécute sans modification, quelle que soit la configuration. Les scénarios liés aux conteneurs sont particulièrement préoccupants. Dans les environnements basés sur Docker ou Kubernetes, un attaquant peut s'échapper de l'environnement isolé et accéder à l'intégralité du système hôte.

Le plus surprenant, c'est que le bug soit resté indétecté aussi longtemps. Le problème résidait dans la combinaison de plusieurs mécanismes qui fonctionnaient correctement individuellement. Seule leur interaction a permis l'attaque. Le cache de pages, une portion de RAM stockant les données des fichiers, joue un rôle crucial. Une faille de sécurité permet de modifier son contenu sans affecter les fichiers sur le disque. Le système utilise ensuite ces données modifiées comme s'il s'agissait des données originales. Concrètement, cela signifie qu'il est possible de remplacer des fragments de programmes système critiques sans laisser de traces en mémoire persistante. L'un des aspects les plus préoccupants de cette vulnérabilité est sa difficulté de détection. L'intégralité du processus se déroule dans la mémoire vive. Après un redémarrage du système, les données modifiées disparaissent et l'analyse du disque ne révèle rien de suspect. Les méthodes d'analyse forensique classiques peuvent ne pas déceler le moindre signe de compromission du système. L'infrastructure informatique moderne repose fortement sur les conteneurs, et c'est là qu'une vulnérabilité peut causer les dégâts les plus importants. L'isolation des applications est compromise lorsqu'un attaquant exploite une faille du noyau partagé par tous les conteneurs. Cela signifie qu'une seule application peut compromettre l'ensemble d'un environnement serveur. Dans le cas des services cloud, ce scénario est encore plus dangereux. La bonne nouvelle, c'est que des correctifs ont été préparés et intégrés aux versions stables du noyau. Reste à savoir à quelle vitesse les utilisateurs et les administrateurs les mettront en œuvre. Les experts insistent sur la nécessité de mettre à jour immédiatement le système. Dans les environnements où cela s'avère impossible, il est recommandé de restreindre l'accès à certaines fonctions du noyau et de mettre en œuvre des mécanismes de contrôle supplémentaires. Chaque jour de retard augmente le risque que cette vulnérabilité soit exploitée lors d'attaques réelles.