Linux est touché par une faille critique qui dormait dans son noyau depuis 2017. Les chercheurs de Theori et Xint Code ont publié les détails de la CVE-2026-31431 appelée Copy Fail. Voici comment ça fonctionne et pourquoi il faut vite installer le correctif.
- La faille CVE-2026-31431 appelée Copy Fail permet à un utilisateur local sans privilège d’obtenir les droits administrateur sur Linux.
- Elle touche les systèmes compilés entre 2017 et le correctif du 1er avril 2026, dont Ubuntu, RHEL, SUSE et Amazon Linux.
- Un correctif est disponible et doit être installé rapidement pour éviter toute exploitation.
Cette faille permet à un utilisateur local sans aucun privilège d’obtenir les droits administrateur en quelques secondes. Tous les systèmes Linux compilés entre 2017 et le correctif du 1er avril 2026 sont concernés. Le correctif est disponible alors si votre système n’est pas à jour, il faut agir maintenant.
Une faille Linux dormante depuis 2017 à peine découverte
Sur Linux, certaines actions sont réservées à l’administrateur appelé root. Un utilisateur ordinaire n’a pas le droit de modifier les fichiers système ou d’installer des logiciels sans autorisation. Copy Fail passe cette barrière.
Theori a prouvé que la faille fonctionne sur Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16. Un script Python de 732 octets suffit. Sauf que voilà, ces quatre distributions couvrent la grande majorité des serveurs Linux dans le monde, les machines de développement, les instances cloud et les infrastructures Kubernetes.
La faille vient d’une optimisation de performance introduite dans le noyau Linux en 2017. Cette modification a touché un composant chargé des opérations de chiffrement. À l’époque, personne n’a identifié le risque. Le code a été révisé trois fois entre 2011 et 2017 par des développeurs différents, chacun de façon indépendante.
Une heure à peine pour découvrir cette faille critique
C’est la combinaison de ces modifications qui a créé Copy Fail. C’est le 30 avril 2026 que la CISA, l’agence étatsunienne de cybersécurité, a ajouté la faille à son catalogue des vulnérabilités exploitées. Pour rappel, Linux 7.1 avait introduit un nouveau pilote NTFS et d’autres améliorations quelques jours avant la publication de Copy Fail. Ce qui en fait une semaine chargée pour l’écosystème Linux.
Theori a trouvé Copy Fail en une heure, sans scanner manuellement. Leur outil d’analyse Xint Code a parcouru le sous-système de chiffrement du noyau Linux de façon automatisée. « Un prompt, une heure », résument les chercheurs. C’est cette rapidité qui préoccupe les experts en sécurité. Si des chercheurs trouvent ce type de faille en une heure, d’autres failles du même genre existent encore dans le noyau. Surtout avec des IA dangereuses qui fuitent comme Mythos.
Ubuntu, Red Hat, SUSE et Amazon ont publié leurs correctifs. Ubuntu 26.04, sorti en avril 2026, n’est pas touché car son noyau intègre déjà la correction. Sur les versions précédentes, Ubuntu a mis à disposition une mise à jour automatique du module concerné.
Linux utilise désormais l’IA pour repérer les failles
La roadmap IA de Canonical pour Linux Ubuntu, publiée le 27 avril, intégrait justement des outils d’analyse locale de sécurité dans sa feuille de route 2026. Les serveurs sont la cible principale. Microsoft Defender signale déjà des tentatives sur des machines cloud Azure sous Linux.
Pour les systèmes sans la mise à jour, il faut désactiver le composant concerné via une ligne de configuration au démarrage. Cette désactivation n’affecte pas les outils courants. On parle de LUKS, du chiffrement des disques, SSH, IPsec, OpenSSL et GnuTLS. Ces outils ne passent pas par ce composant. Seules les applications qui l’utilisent de explicitement sont touchées. Ce qui reste rare en dehors des environnements très spécialisés.
Source : Xint
Réagissez à cet article !