Ce qui a cassé, en termes simples
Le 3 juillet 2026, le chercheur Jaeyoung Chung a publié Bad Epoll, suivi sous le nom CVE-2026-46242. Il s'agit d'une condition de course de type use-after-free dans le sous-système epoll du noyau Linux, la mécanique standard qu'un programme emploie pour surveiller de nombreux fichiers et connexions réseau à la fois. Les serveurs, les services réseau et les navigateurs web s'appuient tous dessus, c'est pourquoi on ne peut pas simplement le couper.
L'effet pratique est brutal. Un attaquant qui dispose déjà d'un point d'appui à faibles privilèges sur la machine, un shell issu d'une application web compromise, une application mobile malveillante, un compte de prestataire, peut monter jusqu'à root complet. La preuve de concept de Chung, soumise au programme kernelCTF de Google, élargit une fenêtre temporelle normalement large d'environ six instructions machine et obtient root à peu près 99 pour cent du temps. Le noyau 6.4 et suivants sont touchés sauf s'ils sont déjà corrigés; les versions plus anciennes fondées sur 6.1 ne le sont pas.
Pourquoi local seulement ne veut pas dire faible risque
Il est tentant de classer une élévation de privilèges locale dans la case plus tard. Ce réflexe est erroné pour un exploitant de parc. Les violations modernes se font en deux temps. Le premier temps, un identifiant exposé, une session hameçonnée, un frontal web vulnérable, amène un attaquant sur la machine en utilisateur limité. Bad Epoll est le deuxième temps qui convertit cet utilisateur limité en root, désactive la journalisation et transforme un incident contenu en incident à l'échelle du domaine.
L'angle Android accentue le propos. Une application malveillante ou piégée qui franchit la faible barre de l'installation peut désormais viser root sur les appareils au noyau 6.4 ou suivants. Pour toute organisation qui laisse le personnel lire le courrier professionnel sur des téléphones personnels, la frontière supposée entre une mauvaise application et vos données vient de s'amincir. C'est une histoire de gestion des correctifs déguisée en bug du noyau.
L'angle mort de l'audit par IA dont les exploitants héritent
Voici le détail qui devrait remonter au conseil d'administration, pas seulement à l'équipe sécurité. Le même commit du noyau de 2023 a introduit deux conditions de course voisines dans environ 2.500 lignes de code epoll. Le modèle Mythos d'Anthropic a saisi la première, désormais suivie sous CVE-2026-43074. Il a manqué la seconde, celle qui est devenue Bad Epoll. Les conditions de course sont notoirement difficiles à repérer, et la revue automatique, comme la revue humaine, ne les repère pas de manière uniforme.
La leçon n'est pas que la revue de code par IA a échoué. C'est qu'un passage propre de l'IA n'est pas un certificat de mainlevée. Si vos responsables techniques ont commencé à citer des audits automatisés comme preuve que le code est sûr, voici l'étude de cas qui dit: un résultat positif restreint le risque, il ne le ferme pas. Traitez la revue par IA comme une couche, financez le fuzzing et des spécialistes humains à côté, et ne laissez jamais un rapport machine au vert devenir la raison de sauter un contrôle.
Que faire cette semaine
Appliquez le correctif en amont, le commit du noyau a6dc643c6931, ou le rétroportage de votre distribution, en priorisant les hôtes exposés à internet et multilocataires où du code local non fiable a le plus de chances de s'exécuter. Pour les parcs Android gérés, diffusez les mises à jour de sécurité du fabricant et confirmez quels combinés tournent sur le noyau 6.4 ou suivants. Epoll ne peut pas être désactivé, il n'y a donc pas de raccourci de configuration; le correctif est la mesure d'atténuation.
Servez-vous ensuite de ce moment comme d'un test de gouvernance. Posez une question à votre prochaine revue des opérations: si un compte à faibles privilèges est compromis aujourd'hui, qu'est-ce qui l'empêche de devenir root d'ici vendredi? Si la réponse honnête dépend d'un correctif que vous n'avez pas encore planifié, vous avez trouvé la faille pour laquelle ce bug a été conçu.
À lire ensuite: Votre cyberdéfense est-elle prête face aux attaques à la vitesse de la machine ? | Alibaba interdit Claude Code, jugé porte dérobée



