Un agent d’IA découvre une faille zéro jour du noyau Linux en une heure
6 min de lecture
Un agent IA de la société Theori a découvert CVE‑2026‑31431 le 04.05.2026 en moins d’une heure, a développé un exploit fonctionnel et a publié une page Web publique à ce sujet. CrowdStrike confirme une exploitation active en milieu sauvage. CISA a inscrit la faille dans les Known Exploited Vulnerabilities (KEV). Systèmes concernés : toutes les distributions Linux avec un noyau à partir de 2017.
Les points clés en bref
- CISA KEV confirme, exploitation active. CrowdStrike a confirmé une exploitation sauvage de CVE‑2026‑31431. Obligation de correctif pour tous les systèmes Linux, aucune exception.
- Découverte IA comme nouvelle classe de menace. L’agent autonome de Theori a trouvé la faille en ~60 minutes. La recherche de vulnérabilités par IA se met désormais à l’échelle différemment.
- Exploitable localement, mais réellement dangereuse. Pas d’exploit à distance — un accès SSH suffit. L’élévation de privilèges sur les systèmes affectés devient alors triviale.
Liens connexes :CVE‑2026‑32202 : correctif Windows incomplet / Amende RGPD 2026 : pratique des amendes pour les PME
Ce que CVE‑2026‑31431 est techniquement
Qu’est‑ce que CVE‑2026‑31431 ? CVE‑2026‑31431 est une vulnérabilité d’élévation de privilèges du noyau Linux via l’interface AF_ALG (Application Framework – Algorithm). Un attaquant local disposant d’un accès shell peut, grâce à une erreur de mémoire contrôlée, obtenir des droits noyau. La faille concerne toutes les distributions Linux avec un noyau à partir de 2017 et est répertoriée sur le CISA KEV depuis le 04.05.2026.
Le bug – nommé en interne « copyfail » – combine une erreur dans le composant ONC ESN avec un primitive d’écriture du cache de pages. Les attaquants peuvent, via l’interface AF_ALG, déclencher une erreur de mémoire contrôlée qui élève les droits du noyau.
Le Proof‑of‑Concept public de Theori compte 732 lignes de Python. Il fonctionne sur toutes les distributions Linux qui, depuis la mise à jour du noyau de 2017, chargent le module AF_ALG — c’est‑à‑dire Debian, Ubuntu, Arch, Red Hat, SUSE et leurs dérivés. Un système dépourvu de ce module n’est pas vulnérable, mais la majorité des déploiements Linux en environnement cloud charge AF_ALG.
Pourquoi la méthode de découverte par IA est pertinente
Theori n’a pas simplement construit un scanner. L’agent autonome a analysé le code du noyau, identifié la classe de vulnérabilité, développé un exploit et publié les résultats – le tout sans aucune étape de révision humaine dans le processus central. Cela a duré environ une heure.
Cela a deux implications pour les équipes de sécurité DACH. Premièrement : le délai entre la création d’une vulnérabilité et l’exploitation publique se raccourcit. Si un agent IA peut analyser le code du noyau en 60 minutes à la recherche de motifs exploitables, la fenêtre de correctif pour les zero‑days se réduit structurellement. Deuxièmement : les attaquants utilisent les mêmes techniques. Les estimations du marché gris pour des exploits similaires d’escalade de privilèges locaux sous Linux se situent, selon Crowdfence-Pricing, entre 10 000 USD et 7 millions USD – le marché existe.
« Exploitation active en situation réelle confirmée. Tous les systèmes Linux non corrigés avec AF_ALG activé sont à risque. »
CrowdStrike Threat Intelligence, 04.05.2026
État des correctifs et mesures immédiates
L’inscription CISA KEV implique pour les agences fédérales américaines un délai de correctif. Pour les organisations DACH, ce n’est pas une obligation contraignante, mais un signal : l’exploitation est confirmée, l’exploit est public, le risque est réel.
État des correctifs des grandes distributions (au 05.05.2026) : Red Hat Enterprise Linux et CentOS Stream proposent des mises à jour dans le canal Advisory. Debian Stable et Ubuntu LTS ont des correctifs en phase de staging. Arch et SUSE/openSUSE suivent. Consultez les listes de diffusion sécurité propres à chaque distribution pour plus de détails.
Les systèmes ne pouvant pas être corrigés immédiatement peuvent désactiver le module AF_ALG : echo « install af_alg /bin/false » >> /etc/modprobe.d/blacklist.conf. Cela empêche l’exploit, mais limite les opérations cryptographiques qui utilisent AF_ALG. Vérifiez quelles applications sont concernées avant de mettre en production ce contournement.
Foire aux questions
CVE-2026-31431 est‑il exploitable à distance ?
Non. L’exploit nécessite une session locale ou un accès SSH persistant. L’attaquant doit déjà disposer d’un accès au système. L’exécution de code à distance via le réseau n’est pas possible avec ce seul CVE. Cela n’atténue en rien l’urgence : les accès SSH avec des identifiants faibles ou des clés compromises constituent souvent la première étape dans les environnements cloud.
Quelles versions de Linux sont concernées ?
Toutes les distributions qui chargent le module noyau AF_ALG et utilisent un noyau à partir de la série de commits de fusion de 2017. Cela concerne de fait tous les systèmes Linux modernes : Debian Stable, Ubuntu LTS, Red Hat Enterprise Linux, CentOS, Arch, SUSE/openSUSE, Alpine. Les entrées du changelog du noyau indiquent que les versions à partir de 4.14 sont vulnérables.
Que signifie l’inscription CISA KEV pour les organisations européennes ?
Lien juridique direct : aucun. La liste KEV s’applique aux agences fédérales américaines. Signification factuelle : importante. Une inscription KEV indique une exploitation active – les organisations européennes soumises à la NIS2 ont déjà l’obligation de corriger les vulnérabilités critiques. Les entités soumises à la NIS2 doivent donc prioriser le CVE‑2026‑31431 et documenter en interne la date de mise à jour.
Dans quel délai faut‑il appliquer le correctif ?
Immédiatement dès que possible. Le KEV de la CISA implique une exploitation active – l’exploit est public, CrowdStrike a confirmé les attaques. Les systèmes avec accès SSH et sans correctif représentent un risque calculable. Délai interne : 48 heures pour les systèmes Linux en production avec accès réseau, 7 jours pour les systèmes isolés à accès limité.
Quel est le contournement AF_ALG et quels en sont les inconvénients ?
AF_ALG (Application Framework – Algorithm) est l’interface noyau pour les opérations cryptographiques. La désactivation via la blacklist empêche l’exploit, mais les applications qui utilisent AF_ALG – certaines implémentations TLS, couches de chiffrement de disque, connexions HSM – perdent leur accélération cryptographique noyau ou basculent vers des solutions en espace utilisateur. Des pertes de performances sont possibles. Testez le contournement avant de le mettre en production.
Plus du réseau MBF Media
- cloudmagazin: Container-Image-Diet 2026 – Distroless, Wolfi, Chainguard pour le DevOps DACH
- MyBusinessFuture: EUDI Wallet à partir du déploiement pilote 2026 – Infrastructure d’identité pour les PME
- Digital Chiefs: Shadow AI et cadre de gouvernance IA pour les entreprises
Source image de titre : Pexels / Markus Spiske
