Copy Fail, c’est le nom de la nouvelle faille de sécurité critique découverte sur Linux et qui permet d’obtenir un accès root sur la grande majorité des distributions Linux publiées depuis 2017. Rien que ça. Voici l’essentiel à savoir sur cette vulnérabilité.
Copy Fail : présentation de la CVE-2026-31431
La nouvelle faille de sécurité Copy Fail, associée à la référence CVE-2026-31431, est un bug logique dans le noyau Linux. Il a été introduit en 2017, lorsqu’un développeur a intégré une optimisation à un fichier nommé algif_aead.c. Le problème, c’est qu’un simple code d’exploitation de 732 octets codé en Python permet d’obtenir un accès root sur Linux.
Cette faille de sécurité, qui au passage a été découverte avec l’assistance de l’IA par l’outil Xint Code, permet donc une élévation de privilèges en local. Elle se situe dans le sous-système cryptographique du noyau Linux, en particulier dans authencesn. En couplant l’utilisation de l’API AF_ALG et la fonction splice(), un attaquant non privilégié peut exploiter cette vulnérabilité. Résultat : il peut écrire 4 octets de données directement dans le page cache de n’importe quel fichier présent sur le système, y compris /usr/bin/su. C’est suffisant pour lancer un Terminal en tant que root et y avoir un accès.
Ici, c’est une vulnérabilité critique et facile à exploiter (surtout en comparaison d’autres failles de sécurité). Les chercheurs précisent d’ailleurs que l’exploit fonctionne à tous les coups : “Ce script fonctionne exactement de la même manière sur toutes les distributions et architectures testées, notamment Ubuntu, Amazon Linux, RHEL et SUSE. Aucun décalage spécifique à chaque distribution. Aucune recompilation. Aucune vérification de version dans l’exploit.”
Le fameux code d’exploitation (PoC) évoqué précédemment n’est qu’un simple script Python utilisant des bibliothèques standards de Python (modules os, socket et zlib). Autrement dit, il n’y a pas de dépendances externes.
Comment se protéger de la faille Copy Fail ?
Le rapport publié par les chercheurs donne quelques noms plus précis de distributions testées : Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ou encore SUSE 16. En réalité, il y a énormément de distributions affectées et beaucoup de versions. Par exemple, du côté de Debian, il n’y a toujours pas de correctif de sécurité à l’heure où j’écris cet article (voir cette page).
Cette faille menace beaucoup de machines (machines personnelles, VPS, serveurs partagés, etc.). Pour se protéger, il convient de surveiller la mise à disposition des patchs de sécurité par les mainteneurs des différentes distributions Linux. Le patch passe par une annulation de l’optimisation apportée en 2017, ce qui élimine la faille au passage (le commit dans le noyau Linux existe déjà).
En attendant, une mesure d’atténuation efficace consiste à désactiver le module algif_aead au niveau du noyau Linux, via les commandes suivantes :
echo “install algif_aead /bin/false” > /etc/modprobe.d/disable-algif.conf
rmmod algif_aead 2>/dev/null || true
Je n’ai pas testé cette manipulation, mais d’après ce que j’ai pu lire, cela n’aurait pas réellement d’impact sur la grande majorité des systèmes. Par exemple, cela n’affecte pas le mécanisme de chiffrement de disques LUKS.