Le monde de l’hébergement web est en état de choc. Depuis le 28 avril dernier, une vulnérabilité critique baptisée CVE-2026-41940 secoue l’infrastructure même d’Internet. Cette faille, qui affiche un score de sévérité maximal de 9.8/10, permet à des attaquants de prendre le contrôle total d’un serveur sans même posséder d’identifiants de connexion.
Le « Saint Graal » des Hackers
Ce que les experts appellent un « Authentication Bypass » (contournement d’authentification) touche les logiciels cPanel & WHM, utilisés par la quasi-totalité des hébergeurs mondiaux pour gérer les sites web, les emails et les bases de données.
Techniquement, le problème réside dans une injection de type CRLF (Carriage Return Line Feed) lors du processus de connexion. En insérant des caractères invisibles dans les en-têtes d’autorisation, un pirate peut forcer le système à écrire des données frauduleuses dans les fichiers de session sur le disque. Une fois la session rechargée, le serveur « croit » que l’attaquant est l’administrateur racine (root), lui ouvrant ainsi les portes du royaume.
Une exploitation « Zero-Day » qui durait depuis des mois
L’aspect le plus inquiétant de cette affaire est sa chronologie. Alors que le correctif officiel n’a été publié que mardi dernier, plusieurs rapports de sociétés de cybersécurité, dont watchTowr et Rapid7, indiquent que la faille était exploitée activement « dans la nature » depuis au moins le 23 février 2026.
Pendant plus de deux mois, des serveurs ont pu être infiltrés en toute discrétion. Le CISA (l’agence américaine de cybersécurité) a d’ailleurs ajouté cette vulnérabilité à sa liste des menaces « connues et exploitées » dès le 30 avril.
Êtes-vous en sécurité ?
Si vous gérez votre propre serveur, l’action immédiate est impérative. Les versions corrigées sont les suivantes :
- 11.110.0.97
- 11.118.0.63
- 11.126.0.54
- 11.132.0.29
- 11.134.0.20
- 11.136.0.5
Il est également fortement conseillé de redémarrer le service cpsrvd après la mise à jour et de vérifier les fichiers de session à la recherche d’indicateurs de compromission (IOC), tels que des entrées user=root suspectes.
Pour les propriétaires de sites sur hébergement mutualisé, la mise à jour est généralement gérée par votre prestataire, mais une vérification auprès de leur support technique reste la meilleure des précautions.