CVE-2026-31431 Copy Fail : 732 octets pour un root Linux

Ce qui s'est passé

Canonical a publié le 29 avril 2026 un advisory pour CVE-2026-31431, une vulnérabilité d'élévation locale de privilèges (LPE) dans le noyau Linux qui touche le module algif_aead, c'est-à-dire l'interface socket AEAD de l'API crypto userspace AF_ALG. Le bug, baptisé Copy Fail par les équipes de Canonical et confirmé par le CERT-EU dans son advisory 2026-005, hérite d'une optimisation introduite en 2017 par le commit 72548b093ee3 et passée inaperçue pendant huit ans. Cette optimisation autorise le placement de pages du page cache dans une scatterlist de destination en écriture, ce qui ouvre la voie à un détournement subtil de la mémoire noyau.

La mécanique de l'attaque a été disséquée par les chercheurs de Sysdig et de Xint. En enchaînant un appel sur un socket AF_ALG avec un splice() bien placé, un utilisateur local non privilégié obtient une écriture contrôlée de quatre octets sur n'importe quelle page sauvegardée par le page cache. Le scénario d'exploitation typique consiste à cibler un binaire setuid comme /usr/bin/su pour réécrire l'instruction d'ouverture de session et basculer en shell root. La preuve de concept tient en 732 octets de Python : aucune chaîne ROP, aucun bypass complexe de KASLR, aucun heap spray.

L'impact est massif. Selon Xint, qui a publié un benchmark complet, des exploits fonctionnels existent déjà pour Ubuntu 24.04, Amazon Linux 2023, RHEL 10.1 et SUSE 16. Toutes les versions d'Ubuntu antérieures à Resolute (26.04) sont vulnérables, ainsi que les noyaux LTS Debian, les images de base Alpine après recompilation, et l'ensemble des kernels CloudLinux utilisés en hébergement mutualisé. Amazon Linux a publié son propre tracker via la base Alas, qui confirme l'exposition de toutes les AMI antérieures au patch.

La chronologie est rapide. Le commit upstream a664bf3d603d, qui annule simplement l'optimisation de 2017, a été poussé sur la mainline le 1er avril 2026. Canonical a coordonné la divulgation jusqu'au 29 avril, date à laquelle Ubuntu, Debian, Red Hat et SUSE ont synchronisé leurs publications. Trois jours plus tard, le 1er mai 2026, la CISA a ajouté CVE-2026-31431 à son catalogue Known Exploited Vulnerabilities, en imposant aux agences fédérales américaines une remédiation sous 21 jours.

Le risque le plus dangereux concerne les environnements conteneurisés et multi-tenants. Sysdig souligne qu'un conteneur exécuté sans seccomp restrictif laisse passer les appels socket AF_ALG, ce qui ouvre la porte à une évasion vers l'hôte si le binaire setuid ciblé est partagé via le file system overlay. Les hyperviseurs ne sont pas affectés mais les plateformes Kubernetes mal durcies, les nodes EKS, GKE et AKS, ainsi que les runtimes Docker en mode rootful sont exposés. Les fournisseurs de SaaS multi-tenant exécutant du code client non vérifié — fonctions sandboxées, builders CI/CD, runners GitHub Actions hébergés — sont en première ligne.

Côté détection, le bulletin Canonical recommande de rechercher les invocations inattendues de bind() sur la famille AF_ALG depuis des processus non privilégiés et toute écriture sur des binaires setuid en dehors des fenêtres de mise à jour. Les EDR de CrowdStrike, SentinelOne et Microsoft Defender for Endpoint ont publié des règles de détection dans les heures qui ont suivi la divulgation. Les équipes de réponse à incident scrutent désormais les journaux d'audit auditd et eBPF pour repérer toute tentative d'exploitation antérieure au patch.

Les correctifs sont disponibles pour la quasi-totalité des distributions maintenues. Ubuntu propose des paquets pour 20.04, 22.04, 24.04 et 25.10. Red Hat couvre RHEL 8, 9 et 10. SUSE livre pour SLES 15 SP6 et SLES 16. CloudLinux a publié des kernels patchés pour les versions KernelCare en hot-patching, ce qui évite le redémarrage. Debian a poussé des mises à jour DSA pour Bookworm et Trixie. Comme atténuation temporaire, les administrateurs peuvent décharger le module algif_aead avec modprobe -r ou bloquer son chargement via modprobe.d, mais cela casse les applications qui s'appuient sur l'API AF_ALG, notamment certains scénarios IPSec userspace.

La communauté de sécurité s'interroge déjà sur d'autres vulnérabilités latentes du même tonneau. Sysdig rappelle que la zone AF_ALG a été pointée comme attack surface dès 2018 par les chercheurs de Project Zero, et que plusieurs patches durcissants n'ont jamais été appliqués faute de mainteneur dédié. Le NCSC britannique, dans son billet du 1er mai 2026 sur la patch wave, cite explicitement Copy Fail comme exemple type des vulnérabilités que l'IA permet désormais d'exhumer en quelques heures.

Pourquoi c'est important

Copy Fail n'est pas une CVE de plus. Sa simplicité d'exploitation — un script Python tient dans un tweet — combinée à l'universalité du noyau Linux en fait un événement comparable à Dirty COW (CVE-2016-5195) en 2016 ou Dirty Pipe (CVE-2022-0847) en 2022. Le serveur d'entreprise moyen, le poste de travail Linux, le pod Kubernetes en production, le builder de CI : tous embarquent un noyau vulnérable jusqu'à patch. La barrière d'entrée pour un attaquant disposant déjà d'un foothold non privilégié — phishing utilisateur, compromission d'un service web, container escape précédent — passe pratiquement à zéro.

Pour les hébergeurs mutualisés, l'alarme est rouge. Un client avec un compte cPanel ou Plesk basique disposait déjà d'une coquille restreinte. Avec Copy Fail, ce même client peut potentiellement obtenir root sur le serveur partagé et compromettre l'ensemble des autres tenants. CloudLinux, qui équipe une grande partie du shared hosting mondial, a réagi en mettant à disposition un patch hot-applicable sans redémarrage, mais les milliers d'hébergeurs qui n'utilisent pas KernelCare doivent planifier des reboots de fleet. Les fournisseurs SaaS tournant sur Kubernetes managé sont sommés de relancer leurs nodes, opération coûteuse en opérations et en disponibilité.

Sur le plan réglementaire, l'ajout au KEV de la CISA déclenche mécaniquement les obligations de la BOD 22-01 pour les agences fédérales américaines, mais le signal envoyé aux opérateurs européens d'importance vitale est tout aussi clair. NIS2 impose une gestion de la vulnérabilité documentée et une remédiation dans des délais raisonnables ; un incident exploitant Copy Fail sur un système non patché plusieurs semaines après la disponibilité du correctif exposerait l'opérateur à une mise en cause par l'ANSSI ou le CERT-FR. La même logique vaut pour DORA dans le secteur financier.

Plus largement, Copy Fail incarne le scénario que le NCSC britannique vient de théoriser sous le nom de patch wave : l'accélération brutale de la découverte de vulnérabilités héritées par les modèles d'IA capables de fouiller des décennies de code legacy. La régression introduite en 2017 dans algif_aead aurait été détectée plus tôt si une revue automatisée à grande échelle avait été appliquée — ce que des outils comme Claude Mythos d'Anthropic ou des fuzzers IA-pilotés rendent désormais accessibles. La prochaine vague de CVE noyau ne se comptera pas en mois mais en semaines, et chaque organisation Linux doit ajuster son rythme de patching en conséquence.

Ce qu'il faut retenir

• Patcher en priorité tous les hôtes Linux multi-utilisateurs, hôtes Kubernetes, runners CI/CD et serveurs hébergés mutualisés. Le module algif_aead peut être déchargé en mitigation temporaire si le redémarrage est différé.
• Activer les règles de détection EDR ciblant les bind() AF_ALG inattendus et auditer rétrospectivement les journaux pour repérer toute exploitation antérieure à la divulgation.
• Intégrer Copy Fail dans le cycle de gestion de vulnérabilités exigé par NIS2 et DORA, et documenter la chronologie de remédiation pour répondre à un éventuel contrôle ANSSI.