CVE-2026-31431, affectueusement surnommée « Copy Fail », est une vulnérabilité critique du noyau Linux qui se cachait dans l'ombre depuis 2017 et qui reçoit enfin l'attention sécuritaire qu'elle mérite. Parce que rien ne dit « sécurisé » comme un bug vieux de huit ans.

Décomposons-la en termes même un non-utilisateur de Linux peut comprendre. Imaginez que la mémoire de votre ordinateur est un tableau noir où un professeur suit vos notes en temps réel. Les étudiants n'ont pas le droit d'utiliser de craie ou de gomme, donc ils ne peuvent pas tricher. Copy Fail, c'est comme un étudiant sournois qui met la main sur une craie et une gomme et modifie juste sa note pendant que vous ne regardez pas. Sauf que dans ce cas, la « note » est la sécurité de votre système.

Essentiellement, Copy Fail est une faille dans le noyau Linux qui gère la sécurité pour certains types de données. Un attaquant avec seulement un accès système de base peut modifier une donnée cruciale dans la RAM de l'ordinateur. Une fois modifiée, la donnée altérée trompe le système en lui faisant croire que l'attaquant est l'utilisateur root, lui donnant un contrôle total. Pensez à un concierge qui prend la plaque nominative du patron et la colle au mur à côté de son placard, convainquant tout le monde qu'il est le patron.

Contrairement à de nombreuses vulnérabilités Linux qui nécessitent un timing précis ou des séquences complexes, Copy Fail est étonnamment simple. Elle abuse de l'interface socket AF_ALG et de l'appel système splice() pour écraser seulement 4 octets dans le cache de pages du noyau pour tout fichier lisible. De là, les attaquants peuvent modifier les binaires setuid - comme la commande su - qui sont en mémoire pour obtenir un accès root. Pas de tentatives dépendantes du timing nécessaires ; c'est un exploit stable et direct.

Copy Fail affecte tous les noyaux Linux de la version 4.14 à 6.19.12. C'est ça : les noyaux de 2017 à aujourd'hui. Parce que pourquoi limiter les dégâts à seulement quelques années ?

Selon l'équipe de recherche Xint Code, « Cette découverte a été assistée par IA, mais a commencé par une idée du chercheur de Theori Taeyang Lee, qui étudiait comment le sous-système crypto de Linux interagit avec les données sauvegardées dans le cache de pages. » Donc, un humain a eu l'idée initiale, et l'IA a aidé à étendre la recherche. Parce que bien sûr, l'IA est impliquée.

Le correctif est simple : mettez à jour votre noyau vers la dernière version. Pour vérifier si vous êtes patché, exécutez cette commande :

```

l kmod grep -qE '^algif_aead ' /proc/modules && echo "Le module affecté est chargé" || echo "Le module affecté n'est PAS chargé"

```

Si vous voyez « Le module affecté n'est PAS chargé », vous êtes bon. Si vous voyez « Le module affecté est chargé », mettez à jour votre système. Si même après la mise à jour il est toujours chargé, désactivez le module algif_aead avec :

```

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

```

Vous en savez maintenant assez sur Copy Fail pour rester protégé. De rien.