6 min de lecture<\/p>\n
Un agent IA de la soci\u00e9t\u00e9 Theori a d\u00e9couvert CVE\u20112026\u201131431 le 04.05.2026 en moins d\u2019une heure, a d\u00e9velopp\u00e9 un exploit fonctionnel et a publi\u00e9 une page Web publique \u00e0 ce sujet. CrowdStrike confirme une exploitation active en milieu sauvage. CISA a inscrit la faille dans les Known Exploited Vulnerabilities (KEV). Syst\u00e8mes concern\u00e9s\u202f: toutes les distributions Linux avec un noyau \u00e0 partir de 2017.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n Liens connexes\u202f:<\/span>CVE\u20112026\u201132202\u202f: correctif Windows incomplet \/<\/span> Amende RGPD 2026\u202f: pratique des amendes pour les PME<\/a><\/p>\n Qu\u2019est\u2011ce que CVE\u20112026\u201131431\u202f?<\/strong> CVE\u20112026\u201131431 est une vuln\u00e9rabilit\u00e9 d\u2019\u00e9l\u00e9vation de privil\u00e8ges du noyau Linux via l\u2019interface AF_ALG (Application Framework \u2013 Algorithm). Un attaquant local disposant d\u2019un acc\u00e8s shell peut, gr\u00e2ce \u00e0 une erreur de m\u00e9moire contr\u00f4l\u00e9e, obtenir des droits noyau. La faille concerne toutes les distributions Linux avec un noyau \u00e0 partir de 2017 et est r\u00e9pertori\u00e9e sur le CISA KEV depuis le 04.05.2026.<\/p>\n Le bug \u2013 nomm\u00e9 en interne \u00ab\u202fcopyfail\u202f\u00bb \u2013 combine une erreur dans le composant ONC ESN avec un primitive d\u2019\u00e9criture du cache de pages. Les attaquants peuvent, via l\u2019interface AF_ALG, d\u00e9clencher une erreur de m\u00e9moire contr\u00f4l\u00e9e qui \u00e9l\u00e8ve les droits du noyau.<\/p>\n Le Proof\u2011of\u2011Concept public de Theori compte 732\u202flignes de Python. Il fonctionne sur toutes les distributions Linux qui, depuis la mise \u00e0 jour du noyau de 2017, chargent le module AF_ALG\u202f\u2014\u202fc\u2019est\u2011\u00e0\u2011dire Debian, Ubuntu, Arch, Red\u202fHat, SUSE et leurs d\u00e9riv\u00e9s. Un syst\u00e8me d\u00e9pourvu de ce module n\u2019est pas vuln\u00e9rable, mais la majorit\u00e9 des d\u00e9ploiements Linux en environnement cloud charge AF_ALG.<\/p>\n Theori n\u2019a pas simplement construit un scanner. L\u2019agent autonome a analys\u00e9 le code du noyau, identifi\u00e9 la classe de vuln\u00e9rabilit\u00e9, d\u00e9velopp\u00e9 un exploit et publi\u00e9 les r\u00e9sultats \u2013 le tout sans aucune \u00e9tape de r\u00e9vision humaine dans le processus central. Cela a dur\u00e9 environ une heure.<\/p>\n Cela a deux implications pour les \u00e9quipes de s\u00e9curit\u00e9 DACH. Premi\u00e8rement\u202f: le d\u00e9lai entre la cr\u00e9ation d\u2019une vuln\u00e9rabilit\u00e9 et l\u2019exploitation publique se raccourcit. Si un agent IA peut analyser le code du noyau en 60\u202fminutes \u00e0 la recherche de motifs exploitables, la fen\u00eatre de correctif pour les zero\u2011days se r\u00e9duit structurellement. Deuxi\u00e8mement\u202f: les attaquants utilisent les m\u00eames techniques. Les estimations du march\u00e9 gris pour des exploits similaires d\u2019escalade de privil\u00e8ges locaux sous Linux se situent, selon Crowdfence-Pricing, entre 10\u202f000\u202fUSD et 7\u202fmillions\u202fUSD \u2013 le march\u00e9 existe.<\/p>\n \n\u00ab\u00a0Exploitation active en situation r\u00e9elle confirm\u00e9e. Tous les syst\u00e8mes Linux non corrig\u00e9s avec AF_ALG activ\u00e9 sont \u00e0 risque.\u00a0\u00bb L\u2019inscription CISA KEV<\/a> implique pour les agences f\u00e9d\u00e9rales am\u00e9ricaines un d\u00e9lai de correctif. Pour les organisations DACH, ce n\u2019est pas une obligation contraignante, mais un signal\u202f: l\u2019exploitation est confirm\u00e9e, l\u2019exploit est public, le risque est r\u00e9el.<\/p>\n \u00c9tat des correctifs des grandes distributions (au 05.05.2026)\u202f: Red Hat Enterprise Linux et CentOS Stream proposent des mises \u00e0 jour dans le canal Advisory. Debian Stable et Ubuntu LTS ont des correctifs en phase de staging. Arch et SUSE\/openSUSE suivent. Consultez les listes de diffusion s\u00e9curit\u00e9 propres \u00e0 chaque distribution pour plus de d\u00e9tails.<\/p>\n Les syst\u00e8mes ne pouvant pas \u00eatre corrig\u00e9s imm\u00e9diatement peuvent d\u00e9sactiver le module AF_ALG\u202f: echo \u00ab\u00a0install af_alg \/bin\/false\u00a0\u00bb >> \/etc\/modprobe.d\/blacklist.conf<\/span>. Cela emp\u00eache l\u2019exploit, mais limite les op\u00e9rations cryptographiques qui utilisent AF_ALG. V\u00e9rifiez quelles applications sont concern\u00e9es avant de mettre en production ce contournement.<\/p>\n Non. L\u2019exploit n\u00e9cessite une session locale ou un acc\u00e8s SSH persistant. L\u2019attaquant doit d\u00e9j\u00e0 disposer d\u2019un acc\u00e8s au syst\u00e8me. L\u2019ex\u00e9cution de code \u00e0 distance via le r\u00e9seau n\u2019est pas possible avec ce seul CVE. Cela n\u2019att\u00e9nue en rien l\u2019urgence\u202f: les acc\u00e8s SSH avec des identifiants faibles ou des cl\u00e9s compromises constituent souvent la premi\u00e8re \u00e9tape dans les environnements cloud.<\/p>\n Toutes les distributions qui chargent le module noyau AF_ALG et utilisent un noyau \u00e0 partir de la s\u00e9rie de commits de fusion de 2017. Cela concerne de fait tous les syst\u00e8mes Linux modernes\u202f: Debian Stable, Ubuntu LTS, Red Hat Enterprise Linux, CentOS, Arch, SUSE\/openSUSE, Alpine. Les entr\u00e9es du changelog du noyau indiquent que les versions \u00e0 partir de 4.14 sont vuln\u00e9rables.<\/p>\n Lien juridique direct\u202f: aucun. La liste KEV s\u2019applique aux agences f\u00e9d\u00e9rales am\u00e9ricaines. Signification factuelle\u202f: importante. Une inscription KEV indique une exploitation active \u2013 les organisations europ\u00e9ennes soumises \u00e0 la NIS2 ont d\u00e9j\u00e0 l\u2019obligation de corriger les vuln\u00e9rabilit\u00e9s critiques. Les entit\u00e9s soumises \u00e0 la NIS2 doivent donc prioriser le CVE\u20112026\u201131431 et documenter en interne la date de mise \u00e0 jour.<\/p>\n Imm\u00e9diatement d\u00e8s que possible. Le KEV de la CISA implique une exploitation active \u2013 l\u2019exploit est public, CrowdStrike a confirm\u00e9 les attaques. Les syst\u00e8mes avec acc\u00e8s SSH et sans correctif repr\u00e9sentent un risque calculable. D\u00e9lai interne\u202f: 48\u202fheures pour les syst\u00e8mes Linux en production avec acc\u00e8s r\u00e9seau, 7\u202fjours pour les syst\u00e8mes isol\u00e9s \u00e0 acc\u00e8s limit\u00e9.<\/p>\n AF_ALG (Application Framework \u2013 Algorithm) est l\u2019interface noyau pour les op\u00e9rations cryptographiques. La d\u00e9sactivation via la blacklist emp\u00eache l\u2019exploit, mais les applications qui utilisent AF_ALG \u2013 certaines impl\u00e9mentations TLS, couches de chiffrement de disque, connexions HSM \u2013 perdent leur acc\u00e9l\u00e9ration cryptographique noyau ou basculent vers des solutions en espace utilisateur. Des pertes de performances sont possibles. Testez le contournement avant de le mettre en production.<\/p>\n Source image de titre : Pexels \/ Markus Spiske<\/p>\n","protected":false},"excerpt":{"rendered":"Un agent IA Theori a trouv\u00e9 CVE\u20112026\u201131431 de fa\u00e7on autonome en 60\u202fminutes. CISA KEV le confirme, CrowdStrike signale une exploitation active.","protected":false},"author":10,"featured_media":14012,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Zero\u2011day noyau Linux IA","_yoast_wpseo_title":"Un agent d'IA d\u00e9couvre une faille z\u00e9ro jour du noyau Linux en une heure","_yoast_wpseo_metadesc":"CVE-2026-31431 sur CISA KEV : un agent IA d\u00e9couvre une faille z\u00e9ro jour Linux en 1h. CrowdStrike confirme les attaques.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"footnotes":""},"categories":[252,3],"tags":[],"class_list":["post-14111","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites","category-aktuelles"],"wpml_language":"fr","wpml_translation_of":14013,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/14111","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=14111"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/14111\/revisions"}],"predecessor-version":[{"id":14602,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/14111\/revisions\/14602"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/14012"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=14111"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=14111"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=14111"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Ce que CVE\u20112026\u201131431 est techniquement<\/h2>\n
Pourquoi la m\u00e9thode de d\u00e9couverte par IA est pertinente<\/h2>\n
\nCrowdStrike Threat Intelligence, 04.05.2026<\/cite>\n<\/p><\/blockquote>\n\u00c9tat des correctifs et mesures imm\u00e9diates<\/h2>\n
Foire aux questions<\/h2>\n
CVE-2026-31431 est\u2011il exploitable \u00e0 distance\u202f?<\/h3>\n
Quelles versions de Linux sont concern\u00e9es\u202f?<\/h3>\n
Que signifie l\u2019inscription CISA KEV pour les organisations europ\u00e9ennes\u202f?<\/h3>\n
Dans quel d\u00e9lai faut\u2011il appliquer le correctif\u202f?<\/h3>\n
Quel est le contournement AF_ALG et quels en sont les inconv\u00e9nients\u202f?<\/h3>\n
Plus du r\u00e9seau MBF Media<\/h2>\n
\n