Bad Epoll : l'IA d'Anthropic n'a pas détecté cette vulnérabilité fondamentale

Le chercheur en sécurité Jaeyoung Chung a révélé une faille du noyau Linux qui permet à un utilisateur lambda, sans privilèges, d’obtenir le contrôle total du système. Baptisée « Bad Epoll » (référence officielle CVE-2026-46242), cette faille affecte les ordinateurs de bureau, les serveurs et les systèmes « Android » sous Linux. Un correctif est disponible. Cette affaire est particulièrement remarquable en raison d’un rebondissement : une intelligence artificielle avait déjà examiné le code concerné sans détecter cette vulnérabilité.
Fonctionnement de « Bad Epoll »
La faille se trouve dans le sous-système epoll, une fonctionnalité essentielle qui permet aux programmes de surveiller simultanément de nombreux fichiers et connexions réseau. Les serveurs, les services réseau et les navigateurs l’utilisent en permanence, et il est impossible de le désactiver. « Bad Epoll » est un bug de type « use-after-free » : deux chemins du noyau nettoient le même objet interne simultanément, l’un libérant la mémoire tandis que l’autre continue d’y écrire. Cette brève collision suffit à manipuler la mémoire du noyau et à passer d’un compte normal au compte root.
Tout est une question de timing. La fenêtre pendant laquelle les deux chemins entrent en collision ne dure qu’environ six instructions machine. L’exploit de Chung élargit cette fenêtre et continue d’essayer sans provoquer de plantage jusqu’à ce qu’il obtienne les privilèges root sur les systèmes testés dans environ 99 % des cas. Deux détails rendent cette faille plus grave que les bogues habituels du noyau : selon Chung, elle peut être déclenchée depuis le bac à sable du moteur de rendu de Chrome, et elle s’étend à l’ Android, ce qui n’est pas le cas de la plupart des failles Linux.
Pourquoi l’IA n’a-t-elle pas détecté cette faille
?
Ces deux problèmes remontent à une seule modification du code datant de 2023, dans seulement 2 500 lignes de code epoll. Le modèle d’IA d’Anthropic, Mythos, a détecté la première des deux conditions de concurrence et l’a signalée sous le numéro CVE-2026-43074. Ce fut un véritable succès, car les bogues de concurrence comme ceux-ci sont considérés comme difficiles à détecter. Le modèle n’a toutefois pas détecté la seconde faille, « Bad Epoll ». C’est finalement le chercheur Jaeyoung Chung qui l’a découverte et a mis au point une attaque efficace pour l’exploiter.
M. Chung avance deux raisons possibles pour expliquer cette lacune, sans toutefois se prononcer en faveur de l’une ou de l’autre. La fenêtre temporelle est si étroite que la séquence exacte est difficile à imaginer, même en examinant le code. De plus, une fois la première faille corrigée, « Bad Epoll » ne déclenchait généralement plus le détecteur d’erreurs mémoire KASAN, privant ainsi le modèle de traces d’exécution. Ce cas met en évidence les deux facettes du problème : l’IA peut détecter des bogues complexes dans le noyau, mais elle peut encore échouer face à des conditions de concurrence subtiles.
Qui est concerné et que faire ?
Les versions du noyau à partir de la 6.4 sont concernées si le correctif n’est pas encore disponible. Les systèmes plus anciens basés sur Linux 6.1 ne sont pas concernés, y compris certains appareils « Android s » tels que le Pixel 8, car le code défectueux n’a été ajouté qu’après cette branche. Selon M. Chung, un exploit « Android » est toujours en cours de développement. Il y a toutefois lieu d’être rassuré quant au risque immédiat : à ce jour, rien n’indique que des attaques aient eu lieu dans la nature, et le seul code fonctionnel est la preuve de concept issue du programme kernelCTF de Google. Autre point important : l’attaquant doit déjà disposer d’un accès local à l’appareil, car la faille ne peut pas être déclenchée à distance.
Les utilisateurs qui appliquent les correctifs manuellement doivent installer le commit en amont a6dc643c6931. Tous les autres doivent attendre le backport de leur distribution et l’installer sans délai. Époll ne pouvant pas être désactivé, il n’existe aucune solution de contournement ; seule la mise à jour permet de résoudre le problème.
Source(s)
Top 10
» Le Top 10 des PC portables multimédia
» Le Top 10 des PC portables de jeu
» Le Top 10 des PC portables de jeu légers
» Le Top 10 des ordinateurs portables bureautiques
» Le Top 10 des PC portables bureautiques premium/professionnels
» Le Top 10 des Stations de travail mobiles
» Le Top 10 des Ultraportables
» Le Top 10 des Ultrabooks
» Le Top 10 des Convertibles
» Le Top 10 des Tablettes
» Le Top 10 des Tablettes Windows
» Le Top 10 des Smartphones
» Le Top 10 des PC Portables á moins de 300 euros
» Le Top 10 des PC Portables á moins de 500 euros
» Le Top 25 des meilleurs écrans d'ordinateurs






