Découverte et rendue publique ce jeudi, la faille Linux dite « Copy Fail » (CVE-2026-31431) permet à un simple utilisateur local d'obtenir un accès root complet sur toutes les grandes distributions depuis 2017, sans aucune compétence technique particulière.

Ici, on voit le même script, quatre distributions Linux différentes, quatre accès root obtenus en une seule prise. L'exploit fonctionne à l'identique, sans la moindre modification, quelle que soit la distribution ciblée. © Copy Fail
Ici, on voit le même script, quatre distributions Linux différentes, quatre accès root obtenus en une seule prise. L'exploit fonctionne à l'identique, sans la moindre modification, quelle que soit la distribution ciblée. © Copy Fail

La vulnérabilité Copy Fail marquera sans doute l'année 2026 pour tous les amateurs de cyber et la communauté Linux. Les chercheurs de Theori et Xint Code ont confirmé l'exploitation réussie sur les quatre distributions Linux les plus répandues en entreprise, à savoir Ubuntu 24.04, Amazon Linux 2023, RHEL et SUSE 16. À l'origine du problème, on retrouve un bug logique enfoui dans « algif_aead », le composant du noyau chargé de certaines opérations de chiffrement, introduit en 2017 et resté dans l'ombre pendant près de neuf ans, vous avez bien lu. Concrètement, la faille permet d'écrire discrètement dans la mémoire vive du système pour s'emparer des droits administrateur, sans laisser la moindre trace sur le disque. Un correctif existe depuis le 1er avril 2026, et les mises à jour sont à appliquer sans délai.

Copy Fail, une vulnérabilité Linux née d'une optimisation anodine en 2017

Pour comprendre Copy Fail, il faut s'arrêter sur un élément discret du noyau Linux. On parle d'un composant logiciel qui fait le lien entre les applications et les opérations de chiffrement du système, un peu comme un traducteur invisible, chargé de sécuriser les échanges de données en coulisses. C'est dans ce composant, baptisé « algif_aead », qu'un développeur a introduit en 2017 une petite optimisation de performance, sans imaginer évidemment qu'elle ouvrirait une brèche silencieuse dans des millions de systèmes.

Ce qui rend Copy Fail assez vicieuse comme faille, c'est qu'elle n'est pas le fruit d'une seule erreur isolée, on vous explique. Entre 2011 et 2017, trois modifications du code ont été apportées indépendamment, par des développeurs différents, sans qu'aucun ne réalise qu'elles s'emboîtaient comme les pièces d'un puzzle très dangereux. C'est seulement leur combinaison qui crée la faille, et personne ne l'a vue venir pendant des années.

L'exploitation, elle, fait plutôt peur par sa simplicité. En combinant quelques instructions système bien précises, un attaquant peut modifier discrètement la copie en mémoire d'un fichier sensible, sans toucher au fichier original sur le disque. En visant « su », la commande qui permet de changer d'identité sur Linux, il s'en attribue une version piégée et s'octroie les droits administrateur complets, le tout en quelques secondes.

De l'escalade de privilèges à l'évasion de conteneurs, toute l'étendue du risque Copy Fail

Copy Fail jouit aussi d'une portabilité totale. Des failles similaires, comme Dirty Cow en 2016, obligeaient l'attaquant à jouer sur le timing, une sorte de course contre la montre entre processus, dont l'issue restait incertaine. Ici, rien de tel, puisqu'un unique script Python de 732 octets, sans installation ni dépendance externe, produit le même résultat à chaque fois, sur n'importe quelle machine concernée.

La menace va bien au-delà du simple serveur. Dans les infrastructures modernes où plusieurs applications tournent en parallèle sur une même machine, comme c'est le cas dans les environnements Kubernetes, très répandus en entreprise, la mémoire est partagée entre tous ces programmes. Un attaquant qui exploite Copy Fail dans l'un d'eux peut donc contaminer les autres, voire prendre le contrôle de la machine hôte entière. Une case en plus sur l'échiquier, et c'est toute la partie qui bascule.

Fort heureusement, et c'est aussi pour ça que la faille a été rendue publique, le correctif officiel est intégré au noyau Linux depuis le 1er avril 2026, et la plupart des distributions le déploient activement. Pour ceux qui ne peuvent pas encore mettre à jour, il existe une solution d'attente simple, qui est de désactiver manuellement le composant vulnérable (« algif_aead ») en deux lignes de commande. Pas d'inquiétude en tout cas pour le reste du système : SSH, le chiffrement de disque ou le VPN utilisent d'autres chemins dans le noyau et ne seront pas affectés par cette désactivation.

Neuf ans. C'est donc le temps qu'il aura fallu à une simple ligne d'optimisation pour devenir l'une des failles les plus redoutables de l'histoire de Linux. Copy Fail ne restera pas seulement comme un avertissement sur les dangers des angles morts dans le développement logiciel. Elle montre surtout à quel point la menace la plus sérieuse est parfois celle qu'on ne cherche pas. La prochaine dort peut-être déjà quelque part dans votre noyau.