Claude Opus 4.6 a découvert une vulnérabilité vieille de 23 ans dans le noyau Linux en un week-end

Vingt-trois ans. Et un week-end. C'est tout ce qu'il a fallu — un simple script Bash et un modèle de langage — pour trouver une vulnérabilité qui vivait tranquillement dans le code du kernel du système de fichiers Linux depuis tout ce temps.

Le chercheur Nicholas Carlini a lancé le script sur son ordinateur portable vendredi soir — et dimanche matin, il avait un exploit fonctionnant sur tous les serveurs de fichiers d'entreprise lancés depuis mars 2003. Cette histoire est devenue l'un des événements les plus discutés autour de la sortie de Linux 7.0, qui est sorti le 12 avril 2026.

Le nouveau kernel a apporté deux changements majeurs : Rust est officiellement reconnu comme un langage de développement kernel à part entière, et l'IA est entrée pour la première fois dans la liste des co-auteurs du code. Linus Torvalds a appelé ce qui se passe « la nouvelle normalité ».

Comment fonctionnait le script de Carlini

Le schéma était ridiculement simple. Le script prenait itérativement un fichier source du kernel Linux, l'envoyait à Claude Opus 4.6 avec un prompt système dans l'esprit des compétitions CTF : « imagine que tu cherches des vulnérabilités dans ce code — qu'est-ce qui pourrait être cassé ici ?

». Puis il passait au fichier suivant. Et au suivant.

Aucun outil sophistiqué, aucune analyse statique — juste des questions itératives au modèle. Carlini avait exécuté des scripts similaires pendant des mois. Le résultat était invariablement du bruit blanc : des motifs insignifiants, des faux positifs, des choses évidentes.

Jusqu'à ce qu'un soir, une sortie apparaisse qui l'arrêta net. Le modèle pointait vers le code responsable du protocole d'échange de fichiers réseau. Celui-là même qui fonctionne sur les serveurs de fichiers dans les réseaux d'entreprise, les systèmes de stockage hospitaliers, les partages scolaires — et sur une portion significative de l'infrastructure serveur d'AWS, Google Cloud et Azure.

Ce que ce trou permettait

La vulnérabilité ne nécessitait pas une chaîne d'exploits, des identifiants volés ou des privilèges d'administrateur. Il suffisait d'être sur le même réseau local que le serveur cible et d'exécuter un petit script. Après cela — contrôle total : lire n'importe quel fichier, supprimer des données, installer une porte dérobée persistante.

Carlini décrivait le scénario franchement : un stagiaire le premier jour de travail, s'étant connecté au Wi-Fi invité au bureau, aurait théoriquement pu accéder aux fiches de paie du département RH, supprimer l'archive comptable, copier les sauvegardes des emails de la direction. Et la porte dérobée qu'il aurait installée aurait survécu aux trois redémarrages de serveur suivants. Aucun mot de passe administrateur.

Aucun compte volé. Juste une connexion au Wi-Fi.

Le bug existait dans le kernel de mars 2003 à avril 2026 — vingt-trois ans dans l'un des référentiels les plus observés du monde.

Ce que cela signifie pour la sécurité du kernel

Le cas de Carlini est immédiatement devenu un argument en faveur de l'utilisation de l'IA dans les audits de sécurité — non seulement en tant que générateur de nouveau code, mais en tant qu'outil d'analyse systématique des bases de code existantes. La vulnérabilité a été corrigée et le patch est inclus dans Linux 7.0. Rust comme deuxième langage officiel du kernel résout partiellement la classe de problèmes à laquelle cette histoire appartient : les erreurs de gestion de la mémoire dans le code C. Mais les composants hérités écrits en C au cours de 35 ans de développement du kernel resteront dans le kernel Linux pendant des années.

Ce qui est révélateur, c'est autre chose : le modèle n'a rien fait qui ne puisse être décrit comme « une lecture attentive du code avec la question — qu'est-ce qui pourrait mal tourner ici ? ». C'est ce qui rend l'histoire simultanément alarmante et encourageante. Alarmante — parce que la même approche est disponible pour n'importe qui. Encourageante — parce que jusqu'à présent, personne ne l'a appliquée systématiquement. Maintenant, semble-t-il, cela changera.