Si vous gérez un site web hébergé en France, il y a de bonnes chances que votre hébergeur ait passé un très mauvais week-end.
Pour les millions de propriétaires de sites web qui n'ont jamais entendu parler de cPanel, c'est pourtant l'outil qui fait tourner la boutique en coulisses. Ce panneau de contrôle permet d'administrer sites, bases de données et comptes e-mail depuis une interface graphique. La quasi-totalité des hébergeurs mutualisés l'utilisent, et il équipe environ 70 millions de domaines dans le monde. Le 28 avril, l'éditeur WebPros a publié un correctif en urgence pour une vulnérabilité d'une gravité exceptionnelle, notée 9,8 sur 10 sur l'échelle CVSS. Et les hébergeurs français n'ont pas été épargnés.
L'hébergement français pris de court
L'hébergeur clermontois o2switch, dont l'offre unique repose intégralement sur cPanel, a réagi avant même la publication officielle de l'avis de sécurité. Dans la nuit du 28 avril, ses équipes ont coupé préventivement l'accès à cPanel sur l'ensemble de leur parc de serveurs pour éviter toute compromission. Une mesure radicale qui a temporairement privé leurs clients de l'interface d'administration, mais qui leur a probablement évité le pire.
Premier hébergeur européen, OVHcloud a confirmé l'impact sur sa page de statut. L'image cPanel fournie par défaut sur ses offres mutualisées n'était pas encore patchée au moment de la divulgation. Du côté de LWS et PlanetHoster, qui proposent des plans cPanel, l'exposition est également documentée. Infomaniak, qui utilise son propre panneau de gestion, et Ikoula, sur Plesk, ne sont en revanche pas concernés.
Le détail qui interpelle : le Centre canadien pour la cybersécurité a publié son avis dès le 29 avril. La Belgique (CCB) a suivi dans la foulée. Côté français, le CERT-FR n'avait toujours pas émis d'avis spécifique au 3 mai, malgré le nombre d'hébergeurs hexagonaux touchés et les obligations de la directive NIS2, transposée en droit français depuis avril 2025.
Quatre requêtes HTTP pour devenir administrateur root
La faille, identifiée sous le nom CVE-2026-41940, permet à un attaquant de prendre le contrôle total d'un serveur sans disposer du moindre identifiant. Le mécanisme repose sur une injection de caractères spéciaux (CRLF) dans l'en-tête d'authentification HTTP. En simplifiant, c'est comme si un cambrioleur pouvait réécrire la serrure d'un immeuble en glissant un mot sous la porte, et se retrouver avec le trousseau du gardien.
Concrètement, l'attaquant envoie une tentative de connexion volontairement ratée pour créer un fichier de session sur le serveur. Il y injecte des lignes frauduleuses (« user=root », « tfa_verified=1 ») via l'en-tête HTTP. Le système relit ces lignes comme légitimes et accorde un accès administrateur complet, mot de passe et double authentification contournés. Quatre requêtes HTTP suffisent. watchTowr Labs, la firme de sécurité qui a publié l'analyse technique et le code d'exploitation, résume la situation sans détour : un contournement d'authentification total sur le panneau de contrôle le plus répandu au monde.
Le problème ne date pas d'hier. Les premières traces d'exploitation remontent au 23 février 2026, soit deux mois avant la publication du correctif. Pendant cette fenêtre, les attaquants disposaient d'un accès libre à toutes les versions de cPanel postérieures à la 11.40, c'est-à-dire la totalité du parc installé. Shadowserver a recensé environ 44 000 adresses IP lançant des attaques ou des scans, et quelque 650 000 instances cPanel/WHM restaient exposées sur Internet au 2 mai.
Pour les propriétaires de sites hébergés sur cPanel en France, la marche à suivre est directe. Vérifier auprès de son hébergeur que le correctif a été appliqué, changer ses mots de passe WHM et cPanel, inspecter les comptes pour repérer d'éventuels ajouts non autorisés.
