AIMC
Retour

Sécurité

Copy Fail : patche ton VPS aujourd'hui

CVE-2026-31431 touche tous les kernels Linux depuis 2017. Si ton produit IA tourne sur un VPS, voilà 5 minutes pour vérifier et fixer.

3 min lecture505 mots2026-05-01

Si tu vis de l'IA en solo, ton produit tourne probablement sur un VPS. Hetzner, Linode, OVH, AWS, peu importe : un kernel Linux qui sert ton app, ton bot, ton webhook.

Le 29 avril 2026, CVE-2026-31431 ("Copy Fail") a été disclosé. C'est une LPE — Local Privilege Escalation — dans le module algif_aead du kernel. CVSS 7.8/10. Affecte tout kernel Linux ≥ 4.13 (depuis 2017). Donc à peu près tout ce qui tourne en prod aujourd'hui.

Pourquoi c'est sérieux

Trois trucs rendent cette CVE particulièrement désagréable :

  1. Exploit fiable. Pas de race condition. Le PoC public en Python fait 732 octets et passe root du premier coup.
  2. Container escape. Exploitable depuis l'intérieur d'un Docker non-privilégié pour compromettre l'hôte. Si tu fais tourner du multi-tenant, du code utilisateur, ou même un sandbox IA, c'est game over.
  3. Surface ancienne. Le module algif_aead n'est généralement pas chargé au boot, mais n'importe quel appel AF_ALG (souvent fait par des libs crypto userland) le charge à la demande. Pas blacklisté = exploitable.

Qui est concerné

  • VPS Linux qui n'a pas reçu de patch kernel depuis le 30 avril 2026
  • Tout user non-root avec accès shell (toi en SSH avec un compte non-admin, un collaborateur, un client de ton SaaS)
  • Tout container Docker capable d'exécuter du code user

Si tu n'as que toi en root SSH, le risque immédiat est moindre — sauf si tu fais tourner Docker, ce qui est à peu près systématique pour un solo.

Vérifier en 30 secondes

ssh root@ton-vps "uname -r"
  • < 6.8.0-111 sur Ubuntu/Debian (ou équivalent patché de ta distro) → vulnérable
  • ≥ 6.8.0-111 → patché, OK

Fixer en 5 minutes

# Sur Ubuntu / Debian (le cas le plus courant)
apt update
apt install -y linux-image-generic linux-headers-generic
reboot

# Après reboot, vérifie :
uname -r

Si t'es sur Linode avec leur kernel custom : apt install -y linux-image-virtual linux-headers-virtual.

Si tu peux pas rebooter maintenant

Mitigation temporaire — blacklister le module pour qu'aucun process ne puisse le charger :

cat <<'EOF' | sudo tee /etc/modprobe.d/cve-2026-31431.conf
blacklist algif_aead
install algif_aead /bin/false
EOF

sudo update-initramfs -u
sudo rmmod algif_aead 2>/dev/null

Puis programme le reboot pour la nuit.

Pourquoi ça compte particulièrement pour un opérateur solo

Un VPS compromis = ton produit down + tes API keys leakées (.env, ~/.aws/credentials, ton fichier .bashrc avec ton OPENAI_API_KEY codé en dur) + ton compte Stripe potentiellement vidé via SSH agent forwarding.

Tu n'as pas une équipe DevOps qui patrouille en 24/7. C'est toi seul. Pour un business solo qui tient sur un ou deux VPS, patcher dans les 48h après une CVE notable n'est pas optionnel : c'est le baseline qui te permet de dormir.

Action

Là, maintenant :

for vps in ton-vps-1 ton-vps-2 ton-vps-3; do
  echo "=== $vps ==="
  ssh root@$vps "uname -r"
done

Tout VPS qui répond < 6.8.0-111 → patche aujourd'hui.

Sources : Ubuntu Security Notice, CERT-EU 2026-005, PoC public theori-io.