La faille « Copy Fail » met en danger la grande majorité des distributions Linux dont le noyau a été compilé après 2017. Son origine est surprenante et son exploitation d’une facilité déconcertante. En exploitant cette faille, un utilisateur local peut parvenir à écrire dans la mémoire vive du système, sans laisser de trace.
Un bug passé inaperçu… durant 9 ans
Il s’agit d’un événement majeur dans l’histoire de la sécurité de Linux. La faille dont il est ici question touche la quasi-totalité des distributions Linux dont le noyau a été compilé entre 2017 et la sortie du récent correctif. Concrètement, la faille appelée « Copy Fail » (CVE-2026-31431) donne la possibilité à un simple utilisateur local, sans aucun privilège particulier, d’obtenir un accès root complet sur toutes les grandes distributions depuis 2017. Pas besoin de compétence technique particulière, ni de mise en œuvre d’un plan complexe : la combinaison de quelques instructions système précises suffit. Au final, l’exploitation de cette simple faille permet d’écrire dans la mémoire vive du système. En manipulant la mémoire vive plutôt que le disque, un attaquant peut altérer la commande « su » pour s’octroyer les privilèges administrateur en quelques secondes et sans laisser de traces sur le fichier original.
L’exploitabilité de cette vulnérabilité a été certifiée par les experts de Theori et Xint Code sur les principaux systèmes Linux utilisés en milieu professionnel, notamment Ubuntu 24.04, Amazon Linux 2023, RHEL et SUSE 16. L’origine du problème ? Il s’agit d’un bug logique enfoui dans « algif_aead », le composant du noyau chargé de certaines opérations de chiffrement, introduit en 2017 et resté dans l’ombre pendant près de… neuf ans. En effet, durant 9 ans, personne n’a rien remarqué. Heureusement, un correctif a été déployé le 1ᵉʳ avril dernier. Il est par ailleurs vivement conseillé d’appliquer les mises à jour. Si vous ne pouvez pas les effectuer, il suffit de désactiver manuellement le composant « algif_aead » via deux instructions.
« algif_aead », l’origine du problème
Le composant logiciel baptisé « algif_aead » permet de faire le lien entre les applications et les opérations de chiffrement du système. C’est précisément dans ce composant qu’un développeur a introduit en 2017 une petite optimisation de performance. Un geste anodin qui a permis par la suite l’exploitation de la faille Copy Fail.
Entre 2011 et 2017, trois modifications du code de « algif_aead » ont par ailleurs été apportées, de façon indépendante et par des développeurs différents. Ce sont ces différentes modifications du code qui ont permis la naissance de Copy Fail. Depuis 2017, presque tous les noyaux compilés sont porteurs du bug.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Copy.fail
