Faille cPanel : 1,5 million de serveurs exposés depuis février
Pour les millions de propriétaires de sites web qui n'ont jamais entendu parler de cPanel, c'est pourtant l'outil qui fait tourner la boutique en coulisses. Ce panneau de contrôle permet d'administrer sites, bases de données et comptes e-mail depuis une interface graphique. La quasi-totalité des hébergeurs mutualisés l'utilisent, et il équipe environ 70 millions de domaines dans le monde. Le 28 avril, l'éditeur WebPros a publié un correctif en urgence pour une vulnérabilité d'une gravité exceptionnelle, notée 9,8 sur 10 sur l'échelle CVSS. Et les hébergeurs français n'ont pas été épargnés.
1. CVE-2026-41940 : une faille critique
Un contournement d'authentification total
La faille CVE-2026-41940 permet à un attaquant de prendre le contrôle total d'un serveur sans disposer du moindre identifiant. Le mécanisme repose sur une injection de caractères spéciaux (CRLF) dans l'en-tête d'authentification HTTP. En simplifiant, c'est comme si un cambrioleur pouvait réécrire la serrure d'un immeuble en glissant un mot sous la porte, et se retrouver avec le trousseau du gardien.
Quatre requêtes HTTP suffisent
watchTowr Labs, la firme de sécurité qui a publié l'analyse technique et le code d'exploitation, résume la situation sans détour : un contournement d'authentification total sur le panneau de contrôle le plus répandu au monde. En quatre requêtes HTTP, un attaquant peut devenir administrateur root.
Exploitée depuis plus de deux mois
Les premières traces d'exploitation remontent au 23 février 2026, soit deux mois avant la publication du correctif. Pendant cette fenêtre, les attaquants disposaient d'un accès libre à toutes les versions de cPanel postérieures à la 11.40, c'est-à-dire la totalité du parc installé.
🔍 Comment ça marche ? L'attaquant envoie une tentative de connexion volontairement ratée pour créer un fichier de session sur le serveur. Il y injecte des lignes frauduleuses (« user=root », « tfa_verified=1 ») via l'en-tête HTTP. Le système relit ces lignes comme légitimes et accorde un accès administrateur complet, mot de passe et double authentification contournés.
2. Les hébergeurs français pris de court
o2switch
Réaction immédiate
Coupe préventive de cPanel dans la nuit du 28 avril
OVHcloud
Impact confirmé
Image cPanel non patchée au moment de la divulgation
LWS / PlanetHoster
Exposition documentée
Plans cPanel concernés
o2switch : la réaction radicale
L'hébergeur clermontois o2switch, dont l'offre unique repose intégralement sur cPanel, a réagi avant même la publication officielle de l'avis de sécurité. Dans la nuit du 28 avril, ses équipes ont coupé préventivement l'accès à cPanel sur l'ensemble de leur parc de serveurs pour éviter toute compromission. Une mesure radicale qui a temporairement privé leurs clients de l'interface d'administration, mais qui leur a probablement évité le pire.
OVHcloud : impact confirmé
Premier hébergeur européen, OVHcloud a confirmé l'impact sur sa page de statut. L'image cPanel fournie par défaut sur ses offres mutualisées n'était pas encore patchée au moment de la divulgation.
LWS, PlanetHoster, et les autres
Du côté de LWS et PlanetHoster, qui proposent des plans cPanel, l'exposition est également documentée. En revanche, Infomaniak (qui utilise son propre panneau de gestion) et Ikoula (sur Plesk) ne sont pas concernés.
3. La réponse des autorités
⚠️ Un détail qui interpelle :
- Le Centre canadien pour la cybersécurité a publié son avis dès le 29 avril
- La Belgique (CCB) a suivi dans la foulée
- Côté français, le CERT-FR n'avait toujours pas émis d'avis spécifique au 3 mai, malgré le nombre d'hébergeurs hexagonaux touchés et les obligations de la directive NIS2 (transposée en droit français depuis avril 2025)
4. L'ampleur de la menace en chiffres
📊 Selon Shadowserver :
- Environ 44 000 adresses IP lançant des attaques ou des scans
- Environ 650 000 instances cPanel/WHM restaient exposées sur Internet au 2 mai
- Soit plus d'1,5 million de serveurs potentiellement vulnérables dans le monde
5. Que faire si vous êtes hébergé sur un serveur cPanel ?
1. Vérifiez auprès de votre hébergeur
Contactez le support ou consultez la page de statut de votre hébergeur pour savoir si le correctif a été appliqué sur vos serveurs.
2. Changez vos mots de passe
Modifiez immédiatement les mots de passe de vos comptes WHM (Web Host Manager) et cPanel. Utilisez des mots de passe forts et uniques.
3. Inspectez vos comptes
Vérifiez les comptes cPanel pour repérer d'éventuels ajouts non autorisés (utilisateurs inconnus, bases de données suspectes, redirections).
4. Sauvegardez et surveillez
Effectuez des sauvegardes complètes de vos sites et bases de données. Activez une surveillance renforcée des logs d'accès et des modifications de fichiers.
5. Envisagez un audit de sécurité
Si votre site contient des données sensibles (e-commerce, données personnelles, santé, etc.), faites réaliser un audit de sécurité post-compromission par un expert.
✅ Les bonnes pratiques à adopter :
- Activez la double authentification (2FA) sur votre compte cPanel si votre hébergeur le permet
- Limitez les accès WHM aux seules IPs autorisées (filtrage IP)
- Surveillez les logs d'authentification pour détecter des tentatives suspectes
- Tenez-vous informé des avis de sécurité de votre hébergeur et du CERT-FR
6. Ce qu'il faut retenir
✅ Les points clés :
- Une faille critique (CVE-2026-41940) permet un contournement total de l'authentification sur cPanel, le panneau de contrôle utilisé par 70 millions de domaines
- La note CVSS est de 9,8/10 → extrêmement grave
- Exploitée depuis le 23 février 2026, soit deux mois avant la publication du correctif
- OVHcloud, o2switch, LWS et PlanetHoster sont touchés en France
- 44 000 IPs attaquantes et 650 000 instances encore exposées au 2 mai
- Actions immédiates : contacter son hébergeur, changer ses mots de passe, inspecter ses comptes, sauvegarder
