Une faille vieille de neuf ans permet à n’importe quel utilisateur local de prendre le contrôle root d’un Linux. Si vous avez un serveur, un Raspberry Pi qui traîne ou un PC sous Ubuntu, vous êtes concerné.
La faille, nommée Copy Fail, a été révélée le 29 avril 2026 par des chercheurs de Theori. Son niveau de gravité est évalué à 7,8 sur 10, ce qui indique une nécessité de correction urgente. Cette vulnérabilité affecte tous les noyaux Linux depuis 2017, touchant ainsi des distributions telles qu’Ubuntu, Debian, Red Hat, SUSE, AlmaLinux, Fedora et Arch.
En pratique, un utilisateur sans privilèges peut modifier quatre octets spécifiques dans la mémoire du système, lui permettant de se faire passer pour l’administrateur. Le script nécessaire pour exploiter cette faille est constitué de seulement 732 octets de code Python, et il fonctionne sur n’importe quelle distribution Linux.
Ce qu’il faut faire, selon ce que vous avez sous la main
Pour les utilisateurs de PC personnels ou de petits serveurs sous Ubuntu ou Debian, il est recommandé de procéder à une mise à jour classique suivie d’un redémarrage. Ubuntu a mis à disposition un correctif provisoire dès le 30 avril, désactivant le composant vulnérable en attendant un noyau patché. Il suffit d’exécuter sudo apt update && sudo apt upgrade suivi d’un redémarrage.
Pour les Raspberry Pi ou NAS, la même approche est applicable, à condition que la distribution soit encore maintenue. Dans le cas contraire, une migration pourrait être nécessaire.
Pour les serveurs utilisant Red Hat, AlmaLinux ou Rocky, il faut rester vigilant. Une commande circulant sur Internet pour bloquer manuellement le composant vulnérable ne fonctionne pas correctement, laissant le système exposé. La mise à jour officielle est la seule solution viable, avec un sudo dnf upgrade suivi d’un redémarrage. Des solutions de patch à chaud comme KernelCare peuvent être envisagées pour ceux qui ne peuvent pas redémarrer.
La désactivation du composant vulnérable ne devrait pas affecter les fonctions essentielles comme le chiffrement de disque, les VPN, SSH ou les sites HTTPS. Seules des applications très spécifiques, utilisant une accélération matérielle de chiffrement à un niveau bas, pourraient être impactées, mais cela reste rare.
Android est également protégé grâce à SELinux, qui restreint l’accès uniquement au processus dumpstate pour ouvrir des sockets AF_ALG, illustrant l’efficacité des politiques de sécurité mises en place.
Pour plus d’informations, consultez la source principale.
