La communauté de la cybersécurité est en état d'alerte maximal après que des rapports ont fait surface indiquant que des acteurs malveillants exploitent activement la vulnérabilité de sécurité Linux 'Copy Fail', un jour seulement après sa divulgation par les chercheurs de **Theori**. L'urgence découle du potentiel pour des utilisateurs locaux non privilégiés de gagner des privilèges root sur les systèmes affectés. ## CVE-2026-31431 : La vulnérabilité 'Copy Fail' Suivie sous la référence **CVE-2026-31431**, cette faille de sécurité réside dans l'interface de l'algorithme cryptographique algif_aead du noyau Linux. La vulnérabilité permet aux utilisateurs locaux d'escalader leurs privilèges en écrivant quatre octets contrôlés dans le cache de page de tout fichier lisible. Cela leur accorde un accès root sur les systèmes Linux non corrigés. ## Exploit de preuve de concept publié Les chercheurs de **Theori** ont publiquement divulgué la vulnérabilité et publié un exploit de preuve de concept (PoC) écrit en Python. Selon les chercheurs, l'exploit est très fiable, atteignant un accès root "100% fiable" sur les appareils **Ubuntu 24.04 LTS**, **Amazon Linux 2023**, **RHEL 10.1** et **SUSE 16**. De plus, **Theori** affirme que le même script d'exploit peut être utilisé contre presque toutes les distributions Linux publiées depuis 2017 avec une version de noyau vulnérable. "Même script, quatre distributions, quatre shells root — en une seule prise. Le même binaire d'exploit fonctionne sans modification sur toutes les distributions Linux," ont déclaré **Theori**. "Si votre noyau a été compilé entre 2017 et le correctif — ce qui couvre essentiellement toutes les distributions Linux grand public — vous êtes concerné." ## Efforts de correction et retards initiaux Alors que les principales distributions Linux ont commencé à publier des mises à jour du noyau pour résoudre la vulnérabilité, **Will Dormann**, analyste principal des vulnérabilités chez Tharros, a noté que les mises à jour officielles n'étaient pas disponibles au moment de l'avis de **Theori**.  *Obtenir un shell root sur quatre distributions Linux (Theori)* ## Directive et recommandations de la CISA Vendredi, la **CISA** a ajouté la vulnérabilité 'Copy Fail' à son catalogue des vulnérabilités connues exploitées (KEV). Cette action impose aux agences du pouvoir exécutif civil fédéral (FCEB) de corriger leurs points d'extrémité et serveurs Linux d'ici le 15 mai, comme stipulé par la directive opérationnelle contraignante (BOD) 22-01. "Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les acteurs malveillants et présente des risques importants pour l'entreprise fédérale," a averti l'agence américaine de cybersécurité. La **CISA** a exhorté les agences à "Appliquer les mesures d'atténuation conformément aux instructions du fournisseur, suivre les directives BOD 22-01 applicables aux services cloud, ou cesser d'utiliser le produit si les mesures d'atténuation ne sont pas disponibles." Bien que la BOD 22-01 cible spécifiquement les agences gouvernementales américaines, la **CISA** conseille vivement à toutes les équipes de sécurité de prioriser la correction de **CVE-2026-31431** pour sécuriser leurs réseaux. ## Histoire récente des vulnérabilités du noyau Linux Cet incident fait suite de près à une autre vulnérabilité d'escalade de privilèges root de haute gravité, **CVE-2026-41651** (baptisée Pack2TheRoot), qui a été corrigée par les distributions Linux le mois dernier. Cette vulnérabilité avait persisté pendant plus d'une décennie dans le démon PackageKit. [](https://hubs.li/Q04crVgD0)