En bref

  • CVE-2026-46242 « Bad Epoll » est une faille use-after-free dans le noyau Linux permettant à n'importe quel utilisateur local sans privilège d'obtenir les droits root.
  • Les systèmes Linux exécutant un noyau v6.4 ou supérieur sont touchés, ainsi que les appareils Android équipés d'un kernel 6.6+, incluant les Pixel 9 et appareils récents.
  • Un exploit fonctionnel affichant un taux de réussite de 99 % a été publié — appliquer immédiatement les patches noyau disponibles depuis fin avril 2026.

Un chercheur trouve la faille qu'une IA n'a pas vue

Le 4 juillet 2026, les détails techniques de CVE-2026-46242 ont été rendus publics, révélant l'une des vulnérabilités d'élévation de privilèges locaux les plus sérieuses découvertes dans le noyau Linux depuis plusieurs années. Baptisée « Bad Epoll » en référence au sous-système touché, cette faille permet à un utilisateur ordinaire, sans aucun droit administrateur, de prendre le contrôle complet d'une machine Linux en quelques secondes.

La vulnérabilité est de type use-after-free : deux chemins d'exécution dans le noyau tentent de libérer et d'utiliser simultanément la même zone mémoire, créant une condition de course exploitable. Plus précisément, lorsque deux descripteurs de fichier epoll sont configurés pour se surveiller mutuellement et que les deux sont fermés presque simultanément, le noyau peut continuer à lire et écrire via un pointeur vers une zone mémoire déjà libérée. Cette erreur, enfouie dans environ 2 500 lignes de code gérant le mécanisme epoll, introduit en réalité deux conditions de course distinctes issues d'un unique commit fusionné en 2023.

La découverte est l'œuvre de Jaeyoung Chung, doctorant au sein du CompSec Lab de l'Université nationale de Séoul. Ce qui rend cette histoire particulièrement notable, c'est le rôle qu'y a joué l'intelligence artificielle — ou plutôt son échec partiel. Selon les informations publiées par The Hacker News et cybersecuritynews.com, un modèle IA de pointe avait bien identifié la première des deux conditions de course présentes dans le code, mais avait manqué la seconde, pourtant présente dans le code adjacent. C'est Chung lui-même qui l'a trouvée manuellement, soulignant les limites actuelles de l'audit automatisé par IA même pour les modèles les plus avancés.

Sur le plan de la chronologie, la gestion de la divulgation s'est avérée complexe. Chung a signalé la vulnérabilité pour la première fois le 17 février 2026. Un premier patch des mainteneurs du noyau a été fusionné le 2 avril 2026, mais il ne corrigeait qu'un bug connexe, laissant la condition de course principale intacte. Le chercheur a dû re-signaler le problème le 22 avril. Un correctif définitif et complet n'a été disponible que deux jours plus tard, le 24 avril 2026 — soit plus de deux mois après la divulgation initiale.

La fiabilité de l'exploit est exceptionnellement élevée pour ce type de vulnérabilité. Malgré une fenêtre de timing de seulement six instructions CPU, Chung a développé un code d'exploitation fonctionnel affichant un taux de succès de 99 %, tel que documenté par TechTimes et HowToFix.guide. Ce niveau de fiabilité, associé au fait que l'attaque ne requiert aucun privilège préalable, classe CVE-2026-46242 parmi les bugs d'élévation de privilèges les plus dangereux de la décennie sur Linux.

Les systèmes affectés englobent toute machine Linux — serveurs, postes de travail, conteneurs — exécutant un noyau v6.4 ou supérieur. Sur Android, les appareils équipés d'un kernel 6.6 ou plus récent sont confirmés vulnérables ; c'est le cas des Pixel 9 et de nombreux flagship 2024-2026. Les appareils plus anciens basés sur le noyau 6.1, comme le Pixel 8, ont été introduits avant le commit fautif de 2023 et ne sont pas affectés par cette vulnérabilité spécifique.

Au 5 juillet 2026, CVE-2026-46242 ne figure pas encore dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA. Aucune exploitation en conditions réelles n'a été confirmée à ce jour. Cependant, la publication d'un exploit à 99 % de fiabilité rend quasi certaine l'apparition d'un code d'attaque dans la nature dans un délai très court. Les opérateurs de serveurs Linux et les responsables de flotte Android doivent considérer ce patch comme critique et prioritaire.

Le correctif a été intégré dans les versions stables du noyau Linux depuis fin avril 2026. Les distributions majeures — Red Hat Enterprise Linux, Debian, Ubuntu, Fedora, SUSE — ont publié leurs mises à jour de sécurité. Pour Android, les fabricants devront intégrer le patch dans leurs prochaines mises à jour de sécurité mensuelles. La résolution de ce bug met fin à une période d'exposition de plusieurs mois, mais les systèmes non patchés restent vulnérables indéfiniment.

Quand l'IA manque ce que l'humain trouve

L'épisode Bad Epoll illustre une réalité que les professionnels de la sécurité commencent à documenter systématiquement : les outils d'audit de code assistés par IA, aussi performants soient-ils, ne remplacent pas encore l'expertise humaine approfondie pour la chasse aux vulnérabilités complexes dans des systèmes de bas niveau. Le modèle IA testé sur ce code avait trouvé la première des deux conditions de course, ce qui démontre une réelle compréhension du code noyau. Mais la seconde, physiquement adjacente dans le code source, lui a échappé. Ce n'est pas un échec total ; c'est une demi-réussite qui aurait laissé la faille ouverte si aucun humain n'avait été dans la boucle.

Ce cas de figure met en lumière un risque émergent dans les stratégies de sécurité : la tendance croissante à déléguer les audits de code à des outils IA sans validation humaine systématique. Si une organisation avait utilisé un modèle de langage comme unique auditeur de ce composant, elle aurait pu conclure — à tort — que le sous-système epoll était sûr. La leçon est claire : l'IA est un accélérateur d'audit, pas un substitut aux chercheurs humains qualifiés, particulièrement sur le code critique de bas niveau.

Par ailleurs, la durée du processus de patch — plus de deux mois entre la première notification et le correctif complet — soulève des questions sur les processus de coordination des mainteneurs du noyau Linux. La première réponse, qui ne corrigeait qu'une partie du problème, a créé un faux sentiment de sécurité. Pour les grandes infrastructures, ce délai représente une fenêtre d'exposition prolongée. Des frameworks de divulgation plus structurés, avec des SLA clairs pour les vulnérabilités d'escalade de privilèges locaux, sont nécessaires dans la chaîne de gestion du noyau Linux.

Du point de vue de l'impact business, les entreprises qui exposent des serveurs Linux multi-tenants — hébergeurs, fournisseurs cloud, opérateurs de plateformes SaaS — sont particulièrement à risque. Un utilisateur malveillant avec un simple accès shell non privilégié peut escalader vers root et compromettre l'ensemble du système, accéder aux données des autres locataires, désactiver les outils de surveillance, ou installer des implants persistants. La surface d'attaque Android est également à surveiller : en entreprise, les appareils Android gérés par MDM représentent une cible attrayante si un attaquant parvient à y exécuter du code local.

Ce qu'il faut retenir

  • Appliquer immédiatement les mises à jour noyau Linux sur tous les systèmes v6.4+, et surveiller les bulletins de sécurité Android pour les appareils sur kernel 6.6+.
  • Un exploit à 99 % de fiabilité sans authentification préalable classe cette faille en priorité critique, même sans exploitation sauvage confirmée à ce jour.
  • Les audits IA de code doivent être complétés par une validation humaine experte, notamment sur le code noyau — Bad Epoll en est la démonstration directe.

Mon serveur Ubuntu est-il vulnérable à Bad Epoll ?

Vérifiez la version de votre noyau avec uname -r. Si vous êtes sur un kernel 6.4 ou supérieur (Ubuntu 24.04 LTS Noble, Ubuntu 25.04), vous êtes affecté. Exécutez sudo apt update && sudo apt upgrade linux-image-generic puis redémarrez. Ubuntu 22.04 LTS avec son noyau 5.15 n'est pas affecté par cette vulnérabilité spécifique.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact