Bugs, Fuites de données, Actualités

Une faille de cPanel activement exploitée expose des millions de sites web à des risques de piratage

par Pieter Arntz | 1er mai 2026
serveurs compromis

Les chercheurs en sécurité mettent en garde contre une faille récemment découverte dans les logiciels de gestion de serveurs web très répandus cPanel et WebHost Manager (WHM). 

Il s'agit d'une faille critique permettant de contourner l'authentification dans cPanel/WHM, qui est actuellement exploitée activement. Elle permet aux pirates d'obtenir un accès administratif à l'interface sans identifiants, et potentiellement de prendre le contrôle des serveurs et de tous les sites hébergés.

Cette vulnérabilité, référencée sous le numéro CVE-2026-41940, a été ajoutée au catalogue des vulnérabilités connues pour avoir été exploitées par l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), ce qui signifie qu'il existe des preuves de son utilisation dans des attaques réelles.

Étant donné que cPanel/WHM est utilisé par plus d'un millionde sites à travers le monde, notamment des banques et des organismes de santé, les répercussions potentielles sont considérables. En termes simples, ce bug peut agir comme une clé qui ouvre la porte d'entrée d'une grande partie de l'infrastructure d'hébergement du Web.

cPanel a publié des correctifs le 28 avril 2026 et a exhorté tous ses clients et hébergeurs à effectuer la mise à jour. L'entreprise a indiqué que toutes les versions prises en charge postérieures à la version 11.40 sont concernées, y compris DNSOnly et WP Squared.

Des hébergeurs tels que Namecheap, HostGator et KnownHost ont temporairement bloqué l'accès aux interfaces cPanel pendant l'application du correctif, considérant qu'il s'agissait d'une faille critique permettant de contourner l'authentification et signalant des tentatives d'exploitation remontant à la fin février 2026.

Comment rester en sécurité

Même s'il appartient aux hébergeurs et aux propriétaires de sites web d'appliquer les correctifs le plus rapidement possible, il existe des moyens de réduire les risques si un site que vous utilisez est piraté.

Comme toujours, ne communiquez aux sites web que les données strictement nécessaires. On ne peut pas voler des données qu’on ne possède pas.

Lorsque vous passez commande auprès d'un site de vente en ligne, ne cochez pas la case permettant d'enregistrer les informations de votre carte bancaire pour vos prochains achats, car celles-ci seront stockées sur le serveur.

S'il est possible de passer commande en tant qu'invité, profitez-en. Cela permet de limiter la quantité de données personnelles associées à un compte.

Ne réutilisez pas vos mots de passe. Si un site est piraté, le fait d'utiliser les mêmes identifiants sur plusieurs sites peut entraîner le piratage de plusieurs comptes. Un gestionnaire de mots de passe peut vous aider à créer des mots de passe complexes et uniques, et à les mémoriser pour vous.

Dans la mesure du possible, payez par carte bancaire. Dans de nombreuses régions, cela vous offre une meilleure protection contre la fraude.

Personal Data Remover

Vos données sont probablement déjà en vente. 

Lorsqu'un site auquel vous faites confiance est piraté

Si vous pensez avoir étévictime d'une fuite de données, procédez comme suit :

  • Vérifiez les conseils de l'entreprise.Chaque violation est différente, alors vérifiez auprès de l'entreprise pour savoir ce qui s'est passé et suivez les conseils spécifiques qu'elle vous donne.
  • Changez votre mot de passe. Vous pouvez rendre un mot de passe volé inutilisable pour les voleurs en le modifiant. Choisissez un mot de passe fort que vous n'utilisez pour rien d'autre. Mieux encore, laissez un gestionnaire de mots de passe en choisir un pour vous.
  • Activezl'authentification à deux facteurs (2FA).Si possible, utilisez une clé matérielle, un ordinateur portable ou un téléphone compatible FIDO2 comme deuxième facteur. Certaines formes de 2FA peuvent être piratées aussi facilement qu'un mot de passe, mais la 2FA qui repose sur un appareil FIDO2 ne peut pas être piratée.
  • Méfiez-vous des imposteurs.Les voleurs peuvent vous contacter en se faisant passer pour la plateforme piratée. Consultez le site officiel pour vérifier s'il contacte les victimes et vérifiez l'identité de toute personne qui vous contacte via un autre canal de communication.
  • Prenez votre temps. Les attaques de phishing usurpent souvent l'identité de personnes ou de marques que vous connaissez et utilisent des thèmes qui requièrent une attention urgente, tels que des livraisons manquées, des suspensions de compte et des alertes de sécurité.
  • Envisagez de ne pas enregistrer les informations relatives à votre carte. Il est certes plus pratique de laisser les sites mémoriser ces informations, mais cela augmente les risques en cas de violation des données par un commerçant.
  • Configurezla surveillance d'identité, qui vous alerte si vosinformations personnellessont trouvées illégalement en ligne et vous aide à récupérer vos données après coup.

Que savent les cybercriminels à votre sujet ?

Utilisez l'analyse gratuite Digital Footprint Malwarebytes pour vérifier si vos informations personnelles ont été exposées en ligne.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Insectes
Logo Microsoft

Mise à jour du mardi de mai 2026 : pas de vulnérabilités « zero-day », mais de nombreux correctifs à installer

Mai 13, 2026

Le « Patch Tuesday » de mai n'est peut-être pas la mise à jour majeure à laquelle beaucoup s'attendaient, mais il contient tout de même de nombreux correctifs importants qu'il ne faut pas négliger.

Actualités
Logo Claude

De faux résultats de recherche concernant Claude attirent Mac dans une attaque ClickFix

Mai 12, 2026

Des chercheurs ont découvert une campagne ClickFix qui utilise de faux guides d'installation de Claude pour inciter Mac à infecter eux-mêmes leur ordinateur.

Actualités
Un groupe de jeunes qui ont l'air heureux

Les données volées sur Canvas ont été « restituées » après hacker , selon Instructure

Mai 12, 2026

Instructure affirme que les données volées sur Canvas, qui concernaient des millions d'étudiants et de membres du personnel, ont été « restituées ». Ce n'est pas ainsi que fonctionnent les violations de données.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries