Les chercheurs en sécurité tirent la sonnette d'alarme – et pas la version festive – à propos d'une vulnérabilité fraîchement découverte dans cPanel et WebHost Manager (WHM), le logiciel de gestion de serveurs web qui alimente à peu près un milliard de sites (ok, des dizaines de millions). Le bug, officiellement répertorié sous le nom CVE-2026-41940, permet aux hackeurs de passer tranquillement devant l'écran de connexion et de prendre le contrôle total des serveurs affectés, comme une version numérique du fait de laisser sa porte d'entrée ouverte avec un panneau « objets gratuits » au néon.
cPanel et WHM sont les héros méconnus de l'hébergement web, gérant tout, des configurations de site à la gestion des e-mails en passant par la maintenance des bases de données – en gros, la plomberie numérique qui empêche les domaines internet de déborder. Comme ces suites ont un accès profond et illimité aux serveurs qu'elles gèrent, un piratage réussi signifie que les attaquants peuvent fouiller toutes les données comme un voisin indiscret lors d'un vide-grenier.
De nombreuses sociétés d'hébergement web commercial ont déjà corrigé les systèmes de leurs clients, mais le fabricant de cPanel exhorte tout le monde à vérifier, car le bug affecte toutes les versions prises en charge. Oui, toutes. L'agence nationale de cybersécurité du Canada a émis un avis selon lequel l'exploitation est « hautement probable », ce qui en langage gouvernemental signifie « arrête de défiler et corrige ça maintenant ».
Le géant de l'hébergement web Namecheap, qui utilise cPanel pour ses clients, a bloqué l'accès aux panneaux cPanel dès qu'il a eu connaissance de la faille – comme un videur fermant le salon VIP avant que la fête ne soit saccagée. Hostgator a également corrigé ses systèmes, qualifiant le bug d'« exploit critique de contournement d'authentification », ce qui semble terrifiant et l'est.
Une société d'hébergement web, KnownHost, a trouvé des preuves que les hackeurs exploitent la vulnérabilité depuis le 23 février – des mois d'invités non invités se cachant dans l'ombre numérique. Le PDG Daniel Pearson s'est rendu sur Reddit pour partager qu'environ 30 des serveurs de KnownHost montraient des signes de tentatives d'accès non autorisé, bien qu'aucune compromission active n'ait été confirmée. Il a comparé les efforts à des tentatives, ce qui est rassurant de la même manière qu'une fenêtre entrouverte.
cPanel a également déployé un correctif de sécurité pour WP Squared, un outil similaire de gestion de sites WordPress, car apparemment le thème de la semaine est « tout corriger ». Si vous utilisez cPanel, vérifiez peut-être auprès de votre hébergeur – ou supposez simplement qu'ils ont géré ça et croisez les doigts.