Les administrateurs système n'avaient pas fini de patcher Copy Fail que son successeur débarque, exploit public sous le bras et sans le moindre correctif.
Les serveurs Linux traversent une drôle de quinzaine. Le 7 mai 2026, le chercheur en sécurité Hyunwoo Kim a publié tous les détails de Dirty Frag, une faille d'élévation de privilèges sur le noyau Linux. Sa particularité : elle permet d'obtenir les droits root sur toutes les grandes distributions. La publication n'était pas prévue si tôt. Un tiers non identifié a brisé l'embargo de divulgation responsable, cinq jours avant la date prévue. Le chercheur s'est retrouvé contraint de publier alors qu'aucun correctif n'existait.
Embargo brisé, exploit dans la nature : le pire scénario de divulgation
Kim avait signalé la vulnérabilité aux mainteneurs du noyau le 30 avril. L'embargo coordonné courait jusqu'au 12 mai. Quelqu'un a publié l'exploit de manière indépendante le 7, et Kim a choisi de tout rendre public. « Parce que l'embargo a été rompu, aucun correctif ni CVE n'existe », a-t-il écrit sur la liste oss-security.
Dirty Frag enchaîne deux vulnérabilités distinctes dans le noyau. La première touche le sous-système IPsec (xfrm-ESP), présente depuis janvier 2017. La seconde vise le protocole RxRPC, introduite en juin 2023. Toutes deux exploitent une faille logique dans le déchiffrement des paquets réseau. Le mécanisme rappelle un coffre-fort dont la serrure accepterait une clé contrefaite sans déclencher l'alarme. En combinant les deux failles, un utilisateur sans privilèges peut corrompre le cache de pages du système et s'octroyer les droits administrateur. Le tout sans condition de concurrence, avec un taux de réussite que le chercheur qualifie de « très élevé ». Les CVE ont depuis été attribués : CVE-2026-43284 pour ESP, CVE-2026-43500 pour RxRPC.
Microsoft, dans un billet publié le lendemain, confirme une exploitation active limitée. La campagne documentée suit un schéma classique : accès SSH, exécution d'un binaire, élévation de privilèges, puis compromission d'un serveur GLPI (un outil de gestion de parc informatique bien connu des DSI françaises). Le code d'exploitation complet est disponible sur GitHub depuis la rupture d'embargo.
Quand patcher la faille précédente ne suffit plus
Le détail qui transforme Dirty Frag en cauchemar logistique tient en une phrase de Kim. « Même sur les systèmes où la mitigation Copy Fail est appliquée, votre Linux reste vulnérable. » Les deux failles exploitent le même mécanisme de corruption du cache de pages, mais empruntent des chemins différents dans le noyau. Bloquer l'un ne protège pas de l'autre.
La généalogie de cette classe de bugs dessine un motif que les doutes sur la solidité réelle de la sécurité Linux rendent chaque année plus concret. Sur Android, Dirty Pipe exploitait la corruption du cache de pages en 2022. Copy Fail, révélée fin avril, ciblait le composant cryptographique algif_aead. Dirty Frag franchit un cran en touchant les modules réseau esp4, esp6 et rxrpc, activés par défaut sur la plupart des serveurs d'entreprise. La CISA américaine avait ajouté Copy Fail à son catalogue de vulnérabilités exploitées le 1er mai, avec une date limite de correction au 15 mai pour les agences fédérales.
La mitigation temporaire existe : désactiver les trois modules vulnérables. Le hic, c'est que l'opération casse les VPN IPsec et les systèmes de fichiers distribués AFS. AlmaLinux a été la première distribution à publier des correctifs le 8 mai. Les patchs pour le noyau principal sont en cours de déploiement.
