Copy Fail : une IA découvre en une heure une faille Linux vieille de neuf ans
Une faille de sécurité critique surnommée Copy Fail et référencée CVE-2026-31431 a été découverte dans le noyau Linux par un agent d'intelligence artificielle développé par la société sud-coréenne Theori. Vieille de près de neuf ans, cette vulnérabilité permet à n'importe quel utilisateur non privilégié d'obtenir les droits administrateur root sur la quasi-totalité des systèmes Linux compilés depuis 2017, sans exploit complexe ni condition de course. L'annonce, faite fin avril 2026 sur la liste de diffusion oss-security, a provoqué une onde de choc dans la communauté mondiale de la cybersécurité.
Theori est une entreprise spécialisée en sécurité offensive qui a développé un agent d'intelligence artificielle baptisé Xint Code. Cet outil est capable d'auditer automatiquement du code source à la recherche de vulnérabilités complexes. C'est précisément Xint Code qui a identifié CVE-2026-31431 en l'espace d'environ une heure seulement, alors que la communauté de développeurs du noyau Linux n'avait rien détecté pendant neuf ans. Le chercheur Taeyang Lee, à l'origine de la découverte, a présenté les détails techniques sur la liste de diffusion oss-security ainsi que sur le site dédié xint.io, avec un article de blog très documenté intitulé Copy Fail: 732 Bytes to Root on Every Major Linux Distribution.
La faille réside dans le sous-système cryptographique du noyau Linux, précisément dans le module algif_aead, qui expose une interface réseau spéciale baptisée AF_ALG. Cette interface permet aux programmes utilisateurs d'accéder aux opérations de chiffrement du noyau sans nécessiter de droits particuliers. Une optimisation introduite en 2017 (commit 72548b093ee3) dans le modèle cryptographique authencesn a créé une situation particulièrement dangereuse : certaines pages du cache disque d'un fichier en lecture seule pouvaient se retrouver dans la zone de destination d'une opération de chiffrement, une zone que le programme utilisateur a le droit de modifier. Un attaquant peut exploiter cette situation en chaînant un appel système splice() pour effectuer une écriture contrôlée de 4 octets dans le cache page d'un binaire système quelconque, comme par exemple /usr/bin/su. La manipulation est répétée en boucle jusqu'à détourner complètement le binaire ciblé.
Un exploit de 732 octets pour devenir root sur tout Linux
L'exploit développé par Theori ne fait que 732 octets — soit moins que bien des en-têtes HTTP. Il cible des binaires setuid comme /usr/bin/su pour en modifier le contenu directement en mémoire vive, sans laisser la moindre trace sur le disque. La manipulation se répète en boucle, quatre octets à la fois, jusqu'à obtenir un shell root complet. Ce qui rend Copy Fail particulièrement redoutable, c'est son caractère parfaitement déterministe : contrairement aux célèbres vulnérabilités Dirty Cow et Dirty Pipe qui nécessitaient de remporter une condition de course souvent aléatoire, Copy Fail fonctionne à coup sûr, sans timing précis à respecter, sur Ubuntu, Amazon Linux, Red Hat Enterprise Linux, SUSE, Debian, Fedora et Arch Linux. Cette fiabilité universelle le distingue de la plupart des exploits kernel connus jusqu'ici.
La faille obtient un score CVSS de 7,8, classé comme Haute sévérité. Son impact dépasse largement le simple ordinateur de bureau : dans les environnements cloud, les pipelines CI/CD et les clusters Kubernetes, où du code non entièrement fiable est régulièrement exécuté, Copy Fail constitue aussi un vecteur d'évasion de conteneur et de compromission de nœuds entiers. «Le cache page est partagé entre tous les processus d'un système, y compris au-delà des frontières des conteneurs», précisent les analystes de Wiz Research. Un seul processus malveillant peut ainsi compromettre l'intégralité d'un nœud multi-locataires, menaçant des infrastructures critiques à grande échelle. Dans un contexte où les cyberattaques massives exposant des millions de données se multiplient, ce type de faille kernel représente une menace systémique pour les États, les entreprises et les institutions.
Mitigation et correctifs : que faire maintenant ?
Le correctif officiel a été intégré dans le noyau Linux principal dès le 1er avril 2026 (commit a664bf3d603d). Il consiste simplement à annuler l'optimisation problématique introduite neuf ans plus tôt. Ubuntu, Red Hat, SUSE, Debian, Amazon Linux et d'autres grandes distributions ont rapidement publié des mises à jour de leurs paquets kernel. Microsoft a publié une analyse détaillée sur son blog de sécurité, soulignant les risques particuliers pour les environnements Azure et les infrastructures multi-locataires. La recommandation prioritaire est de mettre à jour le noyau dans les plus brefs délais, idéalement dans les 24 heures suivant la disponibilité du correctif pour sa distribution.
Pour les systèmes qui ne peuvent pas être patchés immédiatement, deux stratégies de mitigation existent selon la distribution utilisée. Sur Ubuntu, Debian et Arch Linux, il est possible de bloquer dynamiquement le module vulnérable en créant un fichier de configuration dans /etc/modprobe.d/ avec la directive blacklist algif_aead. Sur RHEL, Rocky Linux, AlmaLinux et SUSE Enterprise, on utilisera plutôt le paramètre de démarrage du noyau initcall_blacklist=algif_aead_init. Ces mesures de contournement restent efficaces tant que le module n'a pas été préalablement chargé au démarrage du système. Dans tous les cas, l'application du patch demeure la seule solution définitive.
La découverte de Copy Fail par une intelligence artificielle soulève des questions fondamentales sur l'avenir de l'audit de sécurité informatique. Si un agent IA peut identifier en moins d'une heure une vulnérabilité qui a échappé à des milliers de développeurs humains pendant neuf ans, le paradigme de la sécurité logicielle est en train de basculer profondément. Dans un monde où la gouvernance de l'intelligence artificielle fait encore débat au niveau international, la question de qui contrôle ces outils d'audit automatisé devient cruciale. Les équipes de sécurité devront désormais composer avec des adversaires potentiellement équipés de ces mêmes capacités, capables de détecter et d'exploiter des failles à une vitesse sans précédent. L'intelligence artificielle est en train de devenir le nouvel arbitre de la course permanente entre attaquants et défenseurs.