Faille de sécurité CVE-2026-31431

La vulnérabilité CVE-2026-31431, surnommée « Copy Fail », attire l’attention car elle touche le noyau Linux et peut permettre à un utilisateur local non privilégié d’obtenir des privilèges root sur les systèmes concernés. D’après les sources de sécurité publiées fin avril 2026, il s’agit d’une faille de prise de privilèges locale liée au sous-système crypto AF_ALG, plus précisément à un composant associé à algif_aead. Les premiers bulletins la présentent comme suffisamment sérieuse pour justifier une correction rapide. Source

Ce que l’on sait à ce stade

Les éléments validés par les sources indiquent que la faille concerne le noyau Linux et qu’elle peut être exploitée localement, ce qui signifie qu’un attaquant doit déjà disposer d’un accès sur la machine pour tenter une élévation de privilèges. TechRadar et d’autres publications de sécurité relaient que la vulnérabilité a été publiée le 23 avril 2026, puis a fait l’objet d’une alerte de correctif le 30 avril 2026. Ubuntu aurait signalé que les versions antérieures à 26.04 sont concernées à des degrés divers selon la branche. Source

En revanche, il faut rester prudent sur l’ampleur exacte de l’exposition : selon les distributions, le statut de correctif, les backports et les numéros de version changent rapidement. Sans bulletin officiel de la distribution installée, on ne peut pas conclure qu’un système est vulnérable ou non uniquement à partir du nom de la distribution.

Comment vérifier votre version et votre exposition

• Identifier la distribution et sa version : consultez les informations système, par exemple avec cat /etc/os-release.
• Identifier la version du noyau : utilisez uname -r.
• Comparer avec l’avis de sécurité de votre distribution : la correction dépend du paquet noyau installé, pas seulement du numéro de version Linux affiché.
• Vérifier les paquets de sécurité : sur les systèmes basés sur Debian/Ubuntu, utilisez les outils de mise à jour de la distribution ; sur les systèmes RHEL/Fedora/SUSE, reportez-vous au bulletin officiel correspondant.

Pour un administrateur, le bon réflexe consiste à croiser uname -r, la version de la distribution, puis l’annonce de sécurité officielle. Pour un utilisateur novice, le plus simple est d’installer toutes les mises à jour de sécurité proposées par le système, puis de redémarrer si un nouveau noyau a été installé.

Trucs et astuces

• Gardez un inventaire des machines et de leurs versions de noyau.
• Testez d’abord les correctifs sur une machine pilote si vous administrez un parc.
• Redémarrez après une mise à jour du noyau : le correctif n’est effectif qu’après chargement du nouveau kernel.
• Surveillez les comptes locaux : une LPE devient plus grave si un attaquant dispose déjà d’un accès utilisateur.

Mitigation temporaire

Si un patch n’est pas immédiatement disponible dans votre dépôt, la mitigation doit rester pragmatique : limiter les comptes locaux non nécessaires, restreindre les accès SSH, et appliquer sans attendre les mises à jour de sécurité dès leur publication. Les sources disponibles ne documentent pas, dans les extraits fournis, de paramètre universel permettant de désactiver proprement et sans effet de bord le sous-système concerné ; il faut donc privilégier le correctif officiel de la distribution.

En pratique, la meilleure défense reste la mise à jour du noyau fournie par votre distribution, suivie d’un redémarrage.

Cette affaire rappelle un point important : une faille locale peut devenir critique sur une machine multi-utilisateur, une station de développement, ou un serveur déjà compromis partiellement. Pour les équipes Linux, l’urgence n’est pas seulement de « savoir si CVE-2026-31431 existe », mais de vérifier quelle version exacte du noyau tourne réellement sur chaque hôte et si le correctif officiel est bien installé.