732 octets, la taille d'un SMS un peu long. C'est tout ce qu'il faut pour prendre le contrôle total de presque toutes les machines Linux sorties depuis 2017. La faille s'appelle officiellement CVE-2026-31431, surnommée Copy Fail. Elle se planque au cœur même de Linux, dans le programme central qui pilote tout l'ordinateur.
Une faille géante
Imaginez Linux comme un immeuble à deux étages. Au rez-de-chaussée, vos applications travaillent dans des bureaux séparés. À l'étage, c'est le coffre-fort, où tout est accessible. Normalement, personne ne peut monter. Sauf que là, n'importe quel programme banal peut tromper le système et écrire dans une zone interdite.
L'astuce combine deux fonctions méconnues de Linux. La première, AF_ALG, est une porte d'entrée qui permet aux applications d'utiliser les outils de chiffrement du système. La seconde, splice(), copie des données très vite d'un endroit à un autre de la mémoire. En les enchaînant, un pirate peut modifier 4 petits octets dans la copie temporaire d'un programme qui tourne avec les droits d'administrateur. Quand ce programme s'exécute, il lance en réalité le code du pirate, qui devient instantanément maître de la machine.
Et c'est efficace
Le pire, c'est que ça marche à tous les coups. Le code de démonstration tient en 10 lignes de Python, soit 732 octets, selon Theori, l'équipe sécurité qui a remonté le bug. Le chercheur Taeyang Lee a utilisé Xint Code, leur outil boosté à l'IA, pour repérer la faille.
Sur l'échelle de gravité utilisée par les experts en sécurité, Copy Fail décroche 7.8 sur 10. Pas d'attaque à distance : il faut déjà être connecté à la machine pour l'exploiter. Mais c'est un vrai problème sur les serveurs partagés, les conteneurs (mini-machines virtuelles utilisées par les hébergeurs), ou tout ordinateur déjà infecté. Un pirate qui dispose d'un accès basique gagne en quelques secondes les pleins pouvoirs.
On fait quoi ?
Pour se protéger, deux solutions. La plus propre : installer la mise à jour officielle du noyau, déjà disponible chez Ubuntu, Debian, Red Hat et SUSE. En attendant, on peut désactiver le module algif_aead pour fermer la porte AF_ALG, mais certaines applications peuvent en avoir besoin.
Si vous gérez un serveur Linux ou un parc Debian, Ubuntu ou Fedora, mise à jour urgente cette semaine. Sur les distributions qui se mettent à jour en continu (Arch, Tumbleweed), le correctif est probablement déjà passé. Pour les Raspberry Pi, encore quelques jours de patience.
Bref, AF_ALG est une porte d'entrée trop peu surveillée, et d'autres failles du même genre se cachent sans doute dans le code de Linux.
