Une grave vulnérabilité de sécurité affectant presque toutes les versions du système d’exploitation Linux a pris les défenseurs par surprise et se sont précipités pour mettre à jour les correctifs après que des chercheurs en sécurité ont rendu public un code d’exploitation permettant aux attaquants de prendre le contrôle total des systèmes vulnérables.
Le gouvernement américain affirme que le bug, surnommé « CopyFail », est désormais exploité de manière sauvage, ce qui signifie qu’il est activement utilisé dans des campagnes de piratage malveillantes.
Le bogue, officiellement identifié comme CVE-2026-31431 et découvert dans les versions 7.0 et antérieures du noyau Linux, a été divulgué à l’équipe de sécurité du noyau Linux fin mars et corrigé après environ une semaine. Mais les correctifs ne sont pas encore pleinement appliqués aux nombreuses distributions Linux qui reposent sur le noyau vulnérable, ce qui expose tout système exécutant une version Linux affectée à un risque de compromission.
Linux est largement utilisé dans les entreprises, exécutant les ordinateurs qui exploitent de nombreux centres de données dans le monde.
Le site Web CopyFail indique que le même court script Python « racine chaque distribution Linux livrée depuis 2017 ». Selon la société de sécurité Theori, qui a découvert CopyFail, la vulnérabilité a été vérifiée dans plusieurs versions largement utilisées de Linux, notamment Red Hat Enterprise Linux 10.1, Ubuntu 24.04 (LTS), Amazon Linux 2023, ainsi que SUSE 16.
L’ingénieur et développeur Devops, Jorijn Schrijvershof, a écrit dans un article de blog que l’exploit fonctionne sur les versions Debian et Fedora, ainsi que sur Kubernetes, qui concerne le noyau Linux. Schrijvershof a décrit le bug comme ayant un « rayon d’explosion inhabituellement grand » car il fonctionne sur « presque toutes les distributions modernes » de Linux.
Le bug s’appelle CopyFail car le composant concerné du noyau Linux, le cœur du système d’exploitation qui a un accès pratiquement complet à l’ensemble du périphérique, ne copie pas certaines données quand il le devrait. Cela corrompt les données sensibles du noyau, permettant à l’attaquant d’exploiter l’accès du noyau au reste du système, y compris ses données.
S’il est exploité, le bug est particulièrement problématique car il permet à un utilisateur régulier à accès limité d’obtenir un accès administrateur complet sur un système Linux affecté. Une compromission réussie d’un serveur dans un centre de données pourrait permettre à un attaquant d’accéder à chaque application, serveur et base de données de nombreuses entreprises clientes, et potentiellement d’accéder à d’autres systèmes sur le même réseau ou centre de données.
Le bogue CopyFail ne peut pas être exploité seul sur Internet, mais peut être utilisé comme arme s’il est utilisé conjointement avec un exploit qui fonctionne sur Internet. Selon Microsoft, si le bogue CopyFail est lié à une autre vulnérabilité pouvant être transmise sur Internet, un attaquant pourrait utiliser cette faille pour obtenir un accès root à un serveur affecté. Un utilisateur exploitant un ordinateur Linux avec un noyau vulnérable pourrait également être amené à ouvrir un lien ou une pièce jointe malveillante déclenchant la vulnérabilité.
Le bug pourrait également être injecté par le biais d’attaques de la chaîne d’approvisionnement, dans lesquelles des acteurs malveillants piratent le compte d’un développeur open source et installent le malware dans son code afin de compromettre un grand nombre d’appareils en une seule fois.
Compte tenu du risque qui pèse sur le réseau des entreprises fédérales, l’agence américaine de cybersécurité CISA a ordonné à toutes les agences fédérales civiles de mettre à jour tous les systèmes concernés d’ici le 15 mai.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
