● Siècle Digital 📅 05/05/2026 à 16:10

Une faille informatique met en danger des millions de sites internet

Cybersécurité 👤 Jennifer Larcher
Illustration
Cybersécurité Une faille informatique met en danger des millions de sites internet Une vulnérabilité critique dans cPanel, le logiciel qui gère des dizaines de millions de sites web dans le monde permet à un pirate de contourner l'écran de connexion et de prendre le contrôle d'un serveur. Par Jennifer Larcher Publié le 5 mai 2026 à 16h10 Si vous avez un site web hébergé chez un prestataire classique, il y a de fortes chances que cPanel tourne quelque part en arrière-plan. C’est le tableau de bord que des millions de propriétaires de sites utilisent pour gérer leurs fichiers, leurs mails, leurs bases de données, leurs noms de domaine. L’outil et son compagnon WHM (Web Host Manager) forment la colonne vertébrale invisible d’une bonne partie du web mondial. Cette colonne vient de se fissurer. Un accès admin sans mot de passe La faille, référencée CVE-2026-41940 est aussi grave qu’elle est simple à comprendre. Un attaquant est en mesure de contourner l’authentification de cPanel à distance et d’atterrir directement dans le panneau d’administration, sans identifiant, sans mot de passe. De là, il accède à tout (fichiers du site, boîtes mail, certificats SSL, configurations DNS). Selon WatchTowr, la société qui a analysé la faille, c’est comme si quelqu’un avait trouvé le passe-partout d’un immeuble géant et qu’en prime, les portes d’appartement s’ouvraient avec le même trousseau. 📩 L’actu digitale évolue vite. Restez à jour.Recevez la newsletter quotidienne, gratuitement. En vous inscrivant vous acceptez notre politique de protection des données personnelles. Le score CVSS atteint 9,8 sur 10, le genre de note réservée aux failles qu’on ne laisse pas traîner. Toutes les versions de cPanel postérieures à la 11.40 sont touchées. cPanel a publié des correctifs pour une dizaine de branches le 28 avril, ainsi qu’un patch pour WP Squared, son outil de gestion WordPress. Exploitée depuis février et découverte fin avril Daniel Pearson, patron de l’hébergeur KnownHost, affirme avoir trouvé des traces de tentatives d’exploitation qui remontent au 23 février, soit plus de deux mois avant la publication du correctif. Sur les milliers de serveurs de son réseau, une trentaine ont montré des signes d’accès non autorisé. Pearson dit n’avoir pas constaté de compromission active, mais le doute plane pour les hébergeurs moins vigilants. Namecheap a temporairement coupé l’accès aux panneaux cPanel de ses clients, le temps d’appliquer les mises à jour. HostGator a qualifié le bug de contournement d’authentification critique. L’agence canadienne de cybersécurité a averti que l’exploitation était hautement probable et que les serveurs mutualisés étaient particulièrement exposés. La CISA américaine a inscrit la faille dans son catalogue officiel des vulnérabilités activement exploitées. Quels changements pour les propriétaires de sites&nbsp? Si votre hébergeur gère les mises à jour de cPanel à votre place, vérifiez qu’il a bien appliqué le correctif. Un mail a probablement atterri dans votre boîte cette semaine. Si vous administrez votre propre serveur, la mise à jour est à faire maintenant. Et si vous tournez encore sur CentOS 6 ou CloudLinux 6, un patch spécifique existe pour la version 110.0.103. Deux mois d’exploitation silencieuse avant que le monde ne réagisse. Combien de sites ont été visités sans que personne ne s’en aperçoive&nbsp? La réponse viendra probablement au compte-gouttes, au fil des audits. En attendant, la leçon est toujours la même. Pour aller plus loin Une faille permet de pirater des smartphones Android en 45 secondesUn mystérieux outil de piratage visant l’iPhone aurait infecté des dizaines de milliers d’appareilsShadow IT : l’informatique fantôme qui fragilise les entreprises3,5 milliards de profils aspirés : la faille qui relance les doutes sur WhatsAppDeux plugins WordPress pris pour cible : plus de 8 millions d’attaques bloquées en deux joursAtlas, le nouveau navigateur d’OpenAI, déjà dans le viseur des experts en cybersécurité faille de sécurité
← Retour