Copy Fail (CVE-2026-31431) : 732 octets pour root sur Linux

Une faille critique nommée Copy Fail vient de bouleverser l'écosystème Linux. Référencée CVE-2026-31431 et publiée le 29 avril 2026 sur la liste oss-security, elle permet à n'importe quel utilisateur local non privilégié d'obtenir les droits root sur la quasi-totalité des distributions Linux livrées depuis 2017. Le ticket d'entrée tient en 732 octets de Python : un script court, déterministe, sans race condition ni exploit dépendant de la version du noyau. La cause se trouve dans le module cryptographique authencesn du noyau, qui autorise une écriture contrôlée de 4 octets dans le page cache de tout fichier lisible. Ubuntu, Debian, RHEL, SUSE, Amazon Linux : aucune famille n'est épargnée. Notée 7,8 sur l'échelle CVSS, la vulnérabilité est corrigée dans les noyaux 6.18.22, 6.19.12 et 7.0, mais le risque reste massif sur les serveurs non patchés, les runners CI exécutant du code non fiable et les environnements containerisés mutualisés.

Ce qui s'est passé

L'avis de sécurité a été publié sur la liste oss-security le 29 avril 2026, suivi d'une analyse détaillée par The Register le 30 avril. Le bug, présent depuis le noyau 4.14 introduit en 2017, réside dans la gestion du template cryptographique authencesn via les sockets AF_ALG. Un appel mal formé combinant AF_ALG et splice() permet à un utilisateur sans privilèges d'écrire 4 octets contrôlés à un offset arbitraire du page cache d'un fichier setuid lisible. Une fois le binaire setuid corrompu en mémoire, son exécution accorde immédiatement les droits root à l'attaquant.

Plusieurs preuves de concept circulent déjà en libre accès sur GitHub, dont un script Python de 732 octets qui fonctionne sans modification sur Ubuntu, Amazon Linux, RHEL et SUSE. Contrairement à la majorité des escalades de privilèges Linux qui exigent une fenêtre de race condition ou des offsets dépendants de la version du noyau, Copy Fail est une faille de logique en ligne droite : elle ne nécessite ni timing précis, ni reproduction multiple, ni adaptation au build cible.

Pourquoi c'est important

Copy Fail s'attaque au socle même de la sécurité multi-tenant Linux. Pour les hébergeurs cloud, les fournisseurs SaaS et les plateformes CI/CD comme GitHub Actions ou GitLab Runners, un seul utilisateur malveillant peut compromettre l'hôte, exfiltrer les secrets des autres tenants et pivoter latéralement. Les containers Docker ou Kubernetes partageant le même noyau ne fournissent aucune isolation efficace contre ce type de vulnérabilité kernel.

L'onde de choc rappelle la faille PhantomRPC sur Windows, qui permettait également une élévation au SYSTEM sans patch disponible. Les administrateurs doivent considérer Copy Fail comme une priorité absolue, au même titre que les vulnérabilités Windows Shell exploitées activement. Dans les environnements régulés (santé, finance, OIV), une fenêtre de quelques heures suffit à compromettre l'infrastructure si la faille est combinée à un accès initial existant.

Ce qu'il faut retenir

• Patcher immédiatement vers les noyaux 6.18.22, 6.19.12 ou 7.0 sur tous les serveurs et nœuds containerisés.
• En attendant : désactiver le module noyau algif_aead via blacklist dans /etc/modprobe.d/ et redémarrer.
• Auditer les logs système à la recherche d'appels AF_ALG inhabituels et restreindre l'accès au crypto API pour les utilisateurs non privilégiés.

Pour comprendre la dynamique des escalades de privilèges récentes, consultez nos analyses sur les zero-day Defender et les exploitations actives répertoriées par CISA KEV.