CVE-2026-31431 « Copy Fail » : root sur tout Linux depuis 2017 en 732 octets

Les faits

Le 30 avril 2026, Help Net Security et Qualys ThreatPROTECT publient en simultané les détails techniques d'une vulnérabilité critique dans le noyau Linux : CVE-2026-31431, surnommée « Copy Fail ». Le lendemain, 1er mai, la CISA (Cybersecurity and Infrastructure Security Agency) l'ajoute à son catalogue des vulnérabilités exploitées activement (Known Exploited Vulnerabilities, KEV), imposant aux agences fédérales américaines une échéance de patch au 15 mai 2026. L'exploitation dans la nature est confirmée avant même la large diffusion du correctif officiel — une situation qui illustre parfaitement la course permanente entre défenseurs et attaquants.

La faille réside dans le sous-système algif_aead du noyau Linux, un composant de l'interface AF_ALG (kernel crypto API) permettant aux applications en espace utilisateur d'accéder aux primitives cryptographiques du noyau. La vulnérabilité exploite une interaction pathologique entre l'interface de socket AF_ALG et l'appel système splice() pour réaliser une écriture contrôlée de 4 octets dans le page cache du noyau sans les privilèges requis. Ce mécanisme permet de corrompre en mémoire la représentation d'un binaire privilégié — par exemple /usr/bin/su — sans modifier le fichier sur disque, contournant ainsi les mécanismes de détection classiques basés sur l'intégrité des fichiers (Tripwire, AIDE, auditd en mode immutable).

La dangerosité de Copy Fail tient à plusieurs caractéristiques techniques qui la distinguent des LPE (Local Privilege Escalation) ordinaires. Premièrement, l'exploit est extrêmement compact : un script Python de 732 octets, fonctionnel sur toutes les distributions majeures sans adaptation. Deuxièmement, l'exploitation est fiable et rapide — root obtenu en quelques secondes, sans race condition ni timing complexe. Troisièmement, la faille existe depuis 2017 dans le noyau, ce qui signifie que tous les systèmes non patchés sur les neuf dernières années sont rétroactivement vulnérables. Microsoft Security Blog, qui a publié une analyse approfondie le 1er mai 2026, souligne que la faille facilite le breakout de conteneur, la compromission multi-tenant dans les environnements cloud partagés, et le mouvement latéral au sein d'infrastructures virtualisées.

Le score CVSS de CVE-2026-31431 est officiellement évalué à 7.8 (High). Ce score peut paraître sous-évalué au regard de l'impact réel : si la faille requiert un accès local initial — ce qui limite le CVSS Attack Vector à Local — elle transforme n'importe quelle compromission applicative en escalade root complète. En pratique, dans un environnement cloud ou Kubernetes, l'accès local est trivialement obtenu via une application web vulnérable, un compte de service compromis, une injection dans un pod, ou un simple shell obtenu via une CVE applicative. Copy Fail est la pièce manquante qui transforme un RCE limité en compromission totale du système hôte.

Tenable détaille dans son FAQ dédié que les environnements les plus exposés sont les serveurs Linux multi-utilisateurs (hébergements partagés, serveurs universitaires, VPS), les clusters Kubernetes en environnement multi-tenant où les pods partagent le même noyau hôte, les pipelines CI/CD exécutant du code arbitraire dans des conteneurs Linux (runners GitHub Actions, GitLab CI, Jenkins exposés à du code externe), et les serveurs web et applicatifs où un attaquant a obtenu un RCE en espace utilisateur via une vulnérabilité applicative. Pour ces environnements, Copy Fail est une arme de second niveau idéale : elle convertit tout foothold applicatif en compromission totale.

La liste des distributions affectées couvre l'intégralité du paysage Linux enterprise : Ubuntu 20.04 LTS, 22.04 LTS et 24.04 LTS, Red Hat Enterprise Linux 8, 9 et 10.1, Debian 11 (Bullseye) et 12 (Bookworm), SUSE Linux Enterprise 15 et 16, Amazon Linux 2 et 2023, CentOS Stream 9, Fedora 39 et 40, Arch Linux. En d'autres termes, l'ensemble du parc Linux mondial déployé depuis 2017 et non patché est vulnérable. Qualys ThreatPROTECT estime à plusieurs centaines de millions le nombre de serveurs potentiellement exposés dans le monde, des hyperscalers cloud aux serveurs d'infrastructure industrielle.

La correction modifie le comportement de splice() en interaction avec AF_ALG pour interdire l'écriture non autorisée dans le page cache. Les patches sont disponibles dans les noyaux 6.18.22, 6.19.12 et 7.0. Toutes les distributions majeures ont publié leurs backports respectifs entre le 1er et le 5 mai 2026 : Ubuntu via le canal linux-image-*, RHEL via errata de sécurité officiel, Amazon Linux via les dépôts officiels mis à jour. En France, le CERT-FR a diffusé un avis recommandant l'application prioritaire des mises à jour de sécurité disponibles.

Du côté de la détection, la nature locale de la faille ne génère pas de trafic réseau détectable par les outils NDR/NTA. Les équipes de sécurité doivent s'appuyer sur la détection comportementale : surveillance des appels système splice() inhabituels sur AF_ALG via auditd, alertes sur les escalades de privilèges inattendues dans les journaux système, et déploiement de règles eBPF/Falco pour détecter les modifications en mémoire de binaires sensibles. Falco a publié des règles spécifiques à CVE-2026-31431 le 3 mai 2026, disponibles dans le dépôt officiel falco-rules. Les solutions EDR pour Linux (CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint Linux) ont intégré des détections comportementales dans leurs versions mises à jour entre le 2 et le 4 mai.

La faille s'inscrit dans un contexte plus large de découverte de bugs anciens dans le noyau Linux, parfois qualifiés de « bugs dormants ». L'initiative sécurité Linux Kernel Security Team multiplie les audits ciblés sur les sous-systèmes sensibles depuis 2024, notamment après la tentative de backdoor dans XZ Utils (2024). Copy Fail illustre pourquoi la dette technique dans les composants cryptographiques noyau peut rester invisible pendant des années avant d'être découverte et exploitée — parfois dans les deux sens simultanément.

Impact et exposition

Tout serveur Linux exécutant un noyau antérieur aux versions corrigées (6.18.22, 6.19.12, 7.0) est vulnérable dès lors qu'un attaquant dispose d'un accès local ou d'un RCE en espace utilisateur. Les environnements cloud multi-tenant (AWS EC2, GCP Compute Engine, Azure VMs sous Linux), les clusters Kubernetes, les pipelines CI/CD et les serveurs hébergeant des applications web sont prioritairement exposés. Un accès non privilégié — shell, sandbox applicatif, exécution de code arbitraire dans un conteneur partageant le noyau hôte — suffit pour exploiter la faille et obtenir root en quelques secondes.

Recommandations

• Appliquer immédiatement les mises à jour du noyau Linux via le gestionnaire de paquets de votre distribution (apt upgrade linux-image-*, yum update kernel, zypper update kernel-default) puis redémarrer les systèmes.
• Prioriser les serveurs exposés sur Internet et les environnements cloud multi-tenant — surface d'exploitation maximale en cas de RCE applicatif.
• Déployer des règles de détection Falco ou auditd spécifiques à CVE-2026-31431 pendant la fenêtre de patch pour les systèmes non encore mis à jour.
• Inventorier les versions de noyau de l'ensemble du parc via votre outil de gestion de configuration (Ansible, Puppet, Chef, Terraform) pour identifier les systèmes non couverts et prioriser leur mise à jour.
• Auditer les politiques de sécurité des pods Kubernetes (seccomp, AppArmor, capabilities) — les pods sans restriction permettent l'exploitation directe de la faille noyau hôte depuis un conteneur compromis.