Comment protéger votre hébergement contre la faille cPanel critique (CVE-2026-41940) et le ransomware Sorry
Églantine Montclair
Comprendre la faille cPanel critique et son impact
En 2026, une vulnérabilité CVE-2026-41940 a déclenché une vague d’attaques massives ciblant les serveurs hébergés sous cPanel. Il s’agit d’une faille d’authentification contournée qui permet aux cybercriminels d’accéder sans autorisation aux panneaux de contrôle WHM et cPanel, à l’instar de la vulnérabilité GitHub CVE-2026-3854(qui permet aux cybercriminels d’accéder sans autorisation aux panneaux de contrôle WHM et cPanel, à l’instar de la vulnérabilité GitHub CVE-2026-3854). Selon le rapport de Shadowserver (2026), plus de 44 000 adresses IP exécutant cPanel ont été compromises depuis la découverte de la faille. Cette situation expose non seulement les données des sites web, mais ouvre également la porte à des ransomware de nouvelle génération.
Nature de la vulnérabilité
La faille exploite une mauvaise validation des jetons de session, donnant aux attaquants la possibilité d’injecter des requêtes privilégiées. Les tests réalisés par des équipes de réponse incident montrent que le vecteur d’attaque repose sur un bypass d’authentification qui ne nécessite pas de credentials valides. En pratique, l’exploit agit comme un zero-day, contournant les protections standards du serveur Linux.
Chronologie des attaques
Les premiers indicateurs remontent à la fin février 2026, lorsqu’un groupe de chercheurs a détecté des tentatives d’accès non autorisé. Le 2 mai, l’édition d’urgence de WHM/cPanel a été diffusée, mais la vulnérabilité était déjà exploitée depuis plusieurs semaines. Depuis, les incidents se sont multipliés, avec des rapports signalant des pages d’erreur « Internal Server Error » avant la mise en place du ransomware.
« Le nombre d’IP compromises a explosé en moins de deux semaines, atteignant un pic de 44 000 », indique le tableau de bord de Shadowserver.
Le ransomware Sorry : mécanisme et conséquences
Le ransomware Sorry cible spécifiquement les environnements Linux, et utilise la faille cPanel pour déployer un encryptor écrit en Go. Ce dernier chiffre les fichiers avec le algorithme ChaCha20, en protégeant la clé de chiffrement grâce à une clé publique RSA-2048. L’extension « .sorry » est ajoutée à chaque fichier, rendant la récupération difficile sans la clé privée correspondante.
Chiffrement ChaCha20 et protection RSA-2048
ChaCha20 est choisi pour sa rapidité et sa résistance aux attaques par force brute. La clé symétrique générée est ensuite encapsulée par RSA-2048, garantissant que seule la partie détentrice de la clé privée peut décrypter les données. Rivitna, expert en ransomware, précise que « la décryption est impossible sans la clé RSA-2048 privée ».
« Sans la clé privée RSA-2048, il n’existe aucune méthode réaliste pour récupérer les fichiers chiffrés », a déclaré Rivitna sur les forums spécialisés.
Symptômes visibles sur les serveurs
Les victimes remarquent rapidement la création de fichiers README.md contenant des instructions de paiement via le réseau Tox. Le même identifiant Tox « 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724 » apparaît systématiquement, facilitant la traçabilité des campagnes.
État des compromis en France et données chiffrées
En France, les opérateurs d’hébergement ont signalé une hausse de 23 % des incidents liés à cette faille depuis le mois de mars. Selon l’ANSSI, le nombre d’attaques ransomware sur les services d’hébergement a augmenté de 28 % en 2025, renforçant la nécessité d’une réponse rapide. Les sites compromis sont régulièrement indexés par Google, amplifiant la visibilité du problème.
Tableau récapitulatif des indicateurs clés
| Indicateur | Valeur (2026) | Source |
|---|---|---|
| IP compromises (cPanel) | 44 000 | Shadowserver |
| Ransomware Sorry détecté | > 200 sites | BleepingComputer |
| Augmentation des attaques RSA | +28 % | ANSSI 2025 |
| Sites indexés par Google | 150+ | Google Search Console |
Mesures immédiates : mise à jour et durcissement
La première ligne de défense consiste à installer le correctif d’urgence fourni par WHM/cPanel. Ce correctif corrige le processus de validation des jetons et désactive le vecteur d’exploitation. En outre, l’application de bonnes pratiques post-patch renforce la résilience globale de l’infrastructure.
Installation du correctif WHM/cPanel
#!/bin/bash
# Vérifier la version actuelle de cPanel
/usr/local/cpanel/cpanel -V
# Mettre à jour vers la version corrigée
yum update cpanel-whm -y
# Redémarrer les services
/scripts/restartsrv_cpsrvd
Cette procédure doit être exécutée sur chaque serveur concerné, idéalement via un orchestrateur d’automatisation (Ansible, SaltStack). L’étape suivante consiste à vérifier l’absence de processus suspects liés à l’encryptor Go.
Bonnes pratiques post-patch
- Renforcer les mots de passe de tous les comptes d’administration.
- Activer l’authentification à deux facteurs (2FA) pour WHM et cPanel.
- Restreindre l’accès SSH aux seules adresses IP de confiance.
- Mettre en place une surveillance proactive du trafic réseau à l’aide d’un IDS/IPS.
Guide pas à pas pour sécuriser votre infrastructure
- Effectuer un inventaire complet de tous les serveurs utilisant cPanel/WHM.
- Appliquer le correctif d’urgence dès que disponible, en suivant le script ci-dessus.
- Auditer les journaux d’accès pour détecter toute activité anormale post-déploiement.
- Déployer une solution de sauvegarde hors-site, avec des copies chiffrées quotidiennes.
- Former les équipes à reconnaître les ransom notes et à signaler immédiatement les incidents.
- Soumettre les indicateurs de compromission à des plateformes de partage d’information comme le CERT-FR.
Ces étapes, lorsqu’elles sont suivies rigoureusement, permettent de réduire le risque de réinfection et d’améliorer la posture de sécurité de votre hébergement.
Conclusion : votre feuille de route pour 2026
La faille cPanel critique (CVE-2026-41940) a démontré la fragilité des environnements d’hébergement web face à des ransomware ciblés. En combinant une mise à jour rapide, le renforcement des contrôles d’accès et une surveillance continue, vous pouvez protéger vos sites contre les attaques massives du ransomware Sorry. Agissez dès maintenant : vérifiez votre version cPanel, appliquez le correctif, et initiez les bonnes pratiques décrites dans ce guide. La sécurité de vos données dépend de la réactivité de votre équipe en 2026.