Cette vulnérabilité touche un large éventail de noyaux Linux, de la version 4.14 à la version 6.19.12 incluse. Cela signifie que des millions de systèmes sont potentiellement vulnérables, des serveurs et postes de travail aux appareils embarqués. Le cœur du problème réside dans la manière dont Linux traite certaines données en mémoire. En combinant l’interface de socket AF_ALG et l’appel système splice(), les attaquants peuvent modifier de petits fragments de données en mémoire. Cela peut sembler anodin, mais cette modification minime suffit à manipuler des fichiers système sécurisés.
Cela permet à un utilisateur disposant d’un accès limité de s’octroyer finalement des droits root. Et dès lors qu’une personne dispose d’un accès root, l’ensemble du système est en principe à sa merci. Les chercheurs comparent ce problème à quelqu’un qui échangerait en cachette le badge du directeur avec celui du concierge. Du coup, ce dernier aurait accès à tout, sans que personne ne s’en rende compte immédiatement.
Une faille de sécurité est restée cachée pendant des années dans Linux
Ce qui rend « Copy Fail » particulièrement dangereux, c’est que l’attaque serait relativement simple à mener. De nombreuses vulnérabilités Linux antérieures reposaient sur ce qu’on appelle des « conditions de concurrence », qui exigeaient des attaquants un timing parfait pour réussir leur manœuvre. Ce n’est pas le cas avec Copy Fail. Selon les chercheurs, il s’agit d’un exploit stable et prévisible qui ne nécessite pas de timing complexe. Cela réduit considérablement le seuil d’exploitation.
Ce qui est particulièrement frappant, c’est que cette faille aurait été présente dans le noyau Linux pendant près de neuf ans sans être détectée. Des chercheurs de la Xint Code Research Team ont découvert cette vulnérabilité lors d’une étude sur les sous-systèmes cryptographiques de Linux. L’IA aurait apparemment joué un rôle dans cette découverte. Selon l’équipe de recherche, l’analyse a été soutenue par des outils d’IA qui ont permis d’examiner plus rapidement l’ensemble de l’infrastructure cryptographique de Linux.
Voici comment vérifier si votre système est vulnérable
La solution la plus simple reste de mettre à jour votre noyau Linux vers une version corrigée. Les distributions diffusent généralement la mise à jour de sécurité via leur gestionnaire de paquets. Les utilisateurs peuvent vérifier si le module vulnérable est actif à l’aide de la commande suivante :
dpkg -l kmod grep -qE '^algif_aead ' /proc/modules && echo "Le module concerné est chargé" || echo "Le module concerné n'est PAS chargé"Si le message « Le module concerné est chargé » s’affiche, il convient de redoubler de prudence et d’installer les dernières mises à jour dès que possible.
Solution provisoire
Si vous ne disposez pas encore d’un noyau corrigé, vous pouvez désactiver le module vulnérable pour le moment à l’aide de la commande suivante :
install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.confEnsuite, le module peut être supprimé de la mémoire à l’aide de la commande suivante :
rmmod algif_aeadCe n’est pas une solution définitive, mais cela peut limiter le risque jusqu’à ce qu’un correctif officiel soit disponible pour votre distribution. Bien que Linux soit moins souvent ciblé que Windows, Copy Fail démontre une fois de plus que les plateformes open source peuvent elles aussi comporter de graves failles de sécurité. D’autant plus que cette vulnérabilité est restée inaperçue pendant si longtemps et qu’elle peut être exploitée relativement facilement, les chercheurs recommandent de ne pas retarder les mises à jour.
