Cette faille critique sous Linux met en danger des millions de systèmes : comment protéger le vôtre
Ne négligez pas la faille de sécurité « Copy Fail » sous Linux. Elle est grave. Mais il est facile de s'en protéger.
CVE-2026-31431, également connue sous le nom de Copy Fail, est une faille critique du noyau Linux qui était restée cachée depuis 2017 et qui bénéficie désormais de l'attention qu'elle mérite en matière de sécurité.
Souvent, les vulnérabilités Linux sont un peu exagérées.
Mais ce n'est pas le cas ici.
Copy Fail est une affaire sérieuse et doit être considérée comme un problème à résoudre.
Qu'est-ce que Copy Fail ?
Parlons de Copy Fail en termes compréhensibles par tous.
Imaginez la mémoire de votre ordinateur comme un tableau noir, sur lequel un enseignant note vos notes en temps réel.
Vous n'autorisez pas les élèves à utiliser ni craie ni effaceur, afin qu'ils ne puissent pas modifier leurs notes.
La vulnérabilité « Copy Fail » est comme un élève sournois qui, d'une manière ou d'une autre, se procure un effaceur et de la craie, et modifie sa note pendant que vous ne regardez pas.
Modifier une donnée cruciale présente dans la mémoire vive
En substance, Copy Fail est une faille du système Linux chargée de gérer la sécurité de certains types de données.
Cette faille permet à un attaquant, qui ne dispose que d’un accès basique au système, de modifier une donnée cruciale présente dans la mémoire vive (RAM) de l’ordinateur.
Une fois la modification effectuée, les données altérées peuvent tromper le système en lui faisant croire que l’attaquant est l’utilisateur root, ce qui lui confère le contrôle total du système.
Voyez les choses ainsi : un concierge prend la plaque nominative du bureau du patron et la colle sur le mur à côté de son placard pour que tout le monde pense qu’il est le patron.
C’est ça, Copy Fail.
Une différence entre Copy Fail et d’autres vulnérabilités qui ont touché Linux est que celle-ci ne nécessite pas un timing spécifique ni que certains événements se produisent dans un ordre précis.
C’est beaucoup plus simple, et ses effets peuvent être dévastateurs.
Un peu plus de détails
Pour ceux qui souhaitent en savoir un peu plus sur Copy Fail : cette faille exploite l'interface de socket AF_ALG et l'appel système splice() pour écraser seulement 4 octets dans le cache de pages du noyau pour n'importe quel fichier lisible.
Une fois cela fait, les attaquants peuvent alors modifier les binaires setuid, tels que la commande su, qui se trouvent en mémoire afin d'obtenir un accès root.
Copy Fail se distingue des exploits de type « condition de concurrence » car il s'agit d'une vulnérabilité stable et linéaire qui ne nécessite pas de tentatives répétées dépendantes du timing pour élever les privilèges.
Copy Fail affecte tous les noyaux Linux de la version 4.14 à la version 6.19.12. Vous avez bien lu : les noyaux de 2017 à aujourd'hui.
Selon l'équipe de recherche Xint Code, « Cette découverte a été facilitée par l'IA, mais elle a commencé par une intuition du chercheur de Theori, Taeyang Lee, qui étudiait la manière dont le sous-système de cryptographie Linux interagit avec les données soutenues par le cache de page.
Il a utilisé Xint Code pour étendre ses recherches à l'ensemble du sous-système de cryptographie, et Copy Fail a été la découverte la plus critique du rapport. »
Comment éviter Copy Fail
La manière la plus simple d'atténuer la vulnérabilité Copy Fail sous Linux est de mettre à jour votre noyau vers la dernière version.
Pour savoir si votre noyau a été corrigé contre Copy Fail, exécutez la commande suivante :
dpkg -l kmod grep -qE '^algif_aead ' /proc/modules && echo "Affected module is loaded" || echo "Affected module is NOT loaded"Si votre noyau a été corrigé, vous verrez s'afficher « Le module concerné n'est PAS chargé. ».
Si votre noyau n'a pas été corrigé, vous verrez s'afficher « Le module concerné est chargé. ».
Si vous obtenez ce dernier message, veillez à mettre à jour votre système et à réexécuter la commande.
Et si, après une mise à jour, votre système n'est toujours pas corrigé, vous pouvez désactiver le module algif_aead à l'aide de la commande :
install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.confVous pouvez ensuite décharger le module avec :
rmmod algif_aeadVous en savez désormais suffisamment sur Copy Fail pour rester protégé.





Reply With Quote