Bad Epoll : la faille Linux qui donne un accès root sur Android, et que l’IA Mythos n’avait pas vue
Une faille du noyau Linux, baptisée Bad Epoll (CVE-2026-46242), permet à un simple utilisateur local, sans le moindre privilège, d’obtenir un accès root. Elle touche les postes de travail, les serveurs… et même Android ! Voici ce que l’on sait sur cette vulnérabilité et comment s’en protéger.
Sommaire
Une fenêtre de six instructions pour un accès root
Avant de parler de la vulnérabilité, commençons par un rappel. Epoll est un mécanisme du noyau Linux : il permet à un programme de surveiller un grand nombre de descripteurs de fichiers ou de connexions réseau en même temps. Il n’est pas question de le désactiver sans réfléchir pour se protéger de la vulnérabilité présentée dans cet article, car il est utilisé par beaucoup de composants, dont les services réseau, les navigateurs Web, etc. Et vous risquez de tout casser.
Bad Epoll est un bug de type use-after-free (ce qui correspond à une utilisation de la mémoire après libération) provoqué par une race condition. Le principe de la faille est le suivant : lors du démontage d’un objet epoll, deux opérations du noyau se marchent dessus. L’une libère une structure mémoire pendant que l’autre s’en sert encore. Il en résulte un use-after-free, c’est-à-dire une écriture dans une zone mémoire déjà libérée. La corruption initiale est mineure (quelques octets au mauvais endroit), mais Chung parvient à la transformer en une prise de contrôle bien plus large, en exploitant la manière dont Linux recycle sa mémoire.
Encore faut-il parvenir à satisfaire la race condition : la fenêtre où les deux opérations se percutent ne dure qu’environ six instructions machine. Ce n’est vraiment pas grand-chose et c’est pourtant à ce moment qu’il faut agir. Dans les faits, l’exploit de Jaeyoung Chung l’élargit artificiellement et rejoue la tentative en boucle sans jamais faire planter le système, d’où un taux de réussite d’environ 99 % sur les machines testées. La race condition n’est plus vraiment une contrainte avec un tel taux de réussite.

Cette découverte a été soumise comme 0-day au programme kernelCTF de Google, dont les récompenses démarrent à 71 337 $. Au-delà d’affecter Linux, y compris avec un environnement de bureau, cette vulnérabilité affecte aussi Android. C’est une particularité puisque les failles découvertes dans le noyau Linux dernièrement n’ont jamais affecté Android.
Voici les précisions apportées par Chung à propos de cette faille :
- Elle peut être déclenchée depuis le processus de rendu (renderer) isolé de Chrome, qui bloque pourtant la quasi-totalité des autres failles noyau. En théorie, un attaquant disposant déjà d’une exécution de code dans ce renderer, via une autre faille du navigateur, pourrait enchaîner Bad Epoll pour s’échapper complètement du bac à sable. À ce jour, aucune chaîne complète de ce type n’a toutefois été publiée.
- Elle atteint Android, ce que la plupart des élévations de privilèges Linux ne parviennent pas à faire. Sur la centaine de vulnérabilités exploitées via kernelCTF, une dizaine seulement sont candidates pour rooter un appareil Android. Bad Epoll en fait partie.
L’IA Mythos avait repéré la faille jumelle, pas Bad Epoll
Cette vulnérabilité nous amène également à parler de Claude Mythos. En effet, un unique commit de 2023 (, avril 2023) a introduit non pas une, mais deux race conditions distinctes dans quelque 2 500 lignes du code epoll.
Selon Chung, la première a été identifiée par Mythos et associée à la référence CVE-2026-43074, avec un correctif publié plus tôt en 2026. Toutefois, Anthropic n’a jamais confirmé cette information : le géant de l’IA a indiqué que Mythos avait déniché des failles d’élévation de privilèges dans le noyau Linux, sans pour autant relier publiquement ce travail à la découverte de cette faille.
Si c’est bien le cas, cela signifie que Claude Mythos est parvenu à identifier une faille de type race condition particulièrement difficile à détecter. Toutefois, Mythos est passé à côté de la faille Bad Epoll découverte par le chercheur Jaeyoung Chung. Ce dernier avance d’ailleurs deux hypothèses, en précisant d’emblée que personne ne peut en être certain :
- Une fenêtre de tir minuscule. Avec ses six instructions, l’enchaînement exact des threads est difficile à se représenter, même en gardant les yeux rivés sur le code.
- Peu de traces à l’exécution. Une fois CVE-2026-43074 corrigée, le use-after-free de Bad Epoll ne déclenche généralement pas , le principal détecteur d’erreurs mémoire du noyau. Rien ne signale donc que quelque chose cloche.
La solution contre Bad Epoll : un patch de sécurité
Comment peut-on se protéger de la faille Bad Epoll ? La question se pose après avoir lu cet article. Surtout, Epoll ne peut pas être désactivé sans qu’il y ait de conséquences sur la machine. Donc ce n’est pas une option, contrairement à ce que l’on pouvait recommander pour d’autres failles.
Pour savoir si vous êtes affectés ou non, cela dépend de la version du noyau :
- Concernés : les distributions et appareils exécutant un noyau Linux basé sur la version 6.4 ou supérieure, tant que le correctif n’est pas appliqué.
- Épargnés : les noyaux basés sur la 6.1, la faille ayant été introduite en 6.4. Cela inclut certains téléphones Android encore en 6.1.
Pour se protéger, il faut donc utiliser une version du noyau Linux où le commit a été appliqué. Il faut se renseigner auprès du support de chaque distribution, en particulier à propos de la CVE-2026-46242. Par exemple, Debian 13 bénéficie de la mise à jour 6.12.95-1, tandis que d’anciennes verions ne sont pas affectées (car noyau Linux 6.1).
Terminons par une bonne nouvelle : rien n’indique une exploitation dans la nature. La faille ne figure pas sur la liste CISA des vulnérabilités activement exploitées, et le seul code fonctionnel connu reste le PoC soumis à kernelCTF.
Pour en savoir plus, consultez le writeup public de Jaeyoung Chung.