Faille critique dans cPanel : des millions de sites exposés

Fin avril 2026, une vulnérabilité de sécurité majeure a été découverte dans cPanel, l’un des outils de gestion d’hébergement web les plus répandus dans le monde. Activement exploitée par des pirates avant même que le grand public en soit informé, cette faille a mis en alerte l’ensemble du secteur de l’hébergement. Voici ce qui s’est réellement passé – expliqué simplement – et pourquoi vos sites n’ont pas été impactés.

cPanel, c’est quoi exactement ?

Quand vous avez un site internet, il est hébergé sur un serveur – un ordinateur puissant, disponible 24h/24, qui rend votre site accessible à vos visiteurs. Pour gérer ce serveur (les fichiers de votre site, vos boîtes mail, vos bases de données…), les hébergeurs utilisent des outils spécialisés. cPanel est le plus utilisé au monde : c’est une sorte de tableau de bord qui permet d’administrer un serveur web sans avoir à taper des lignes de code.

cPanel est accompagné de WHM (Web Host Manager), un outil réservé aux administrateurs des hébergeurs, qui leur permet de gérer l’ensemble des serveurs et des comptes clients. Ensemble, ces deux outils forment les « clés du royaume » de l’hébergement web. C’est précisément pour ça que la faille découverte est si grave.

Une faille avec un score de dangerosité quasi maximal

La vulnérabilité a été officiellement référencée sous l’identifiant CVE-2026-41940. Les failles informatiques sont évaluées selon une échelle appelée CVSS, qui va de 0 à 10. Celle-ci a obtenu un score de 9,8 sur 10 – ce qui en fait l’une des plus critiques qu’il soit possible de rencontrer.

Concrètement, elle permettait à n’importe sans identifiant et sans mot de passe de se connecter avec les droits d’administrateur sur un serveur cPanel. Une fois à l’intérieur, l’attaquant avait accès à tout : les fichiers des sites hébergés, les bases de données, les boîtes mail, les configurations… En résumé, un contrôle total.

La faille touche toutes les versions de cPanel postérieures à la 11.40, ce qui représente l’immense majorité des installations en production dans le monde. Des scans réalisés sur internet ont identifié plus d’un million de serveurs potentiellement exposés, chacun pouvant héberger des dizaines, voire des centaines de sites web.

Elle était exploitée depuis au moins un mois avant d’être rendue publique

Ce qui rend cet épisode particulièrement préoccupant, c’est le délai entre l’exploitation réelle de la faille et sa divulgation officielle. Le PDG d’un hébergeur américain a confirmé publiquement que la vulnérabilité était utilisée par des pirates depuis au moins 30 jours avant que cPanel publie son correctif le 28 avril 2026.

L’agence américaine de cybersécurité, la CISA, l’a rapidement intégrée à son catalogue officiel des vulnérabilités activement exploitées, une reconnaissance institutionnelle qui confirme que des attaques réelles ont bien eu lieu sur des environnements en production.

o2switch a patché ses serveurs dès la nuit suivante

Chez TYTAE, nous hébergeons l’ensemble des sites de nos clients chez o2switch, un hébergeur français que nous avons choisi pour la qualité de ses infrastructures et la réactivité de son équipe technique. Dès que cPanel a publié son correctif, o2switch l’a déployé sur l’ensemble de ses serveurs, dans la nuit du mardi au mercredi.

Voici la réponse qu’ils nous ont apportée lorsque nous les avons contactés pour en savoir plus :

« Ne vous inquiétez pas, la CVE a été patchée dès la sortie du correctif par cPanel. Nous l’avons fait dans la nuit du mardi au mercredi la semaine dernière, il est donc possible que vous ayez eu une légère incapacité à accéder à cPanel pendant ce temps. Tous nos serveurs ont été patchés pendant cette période. »

Si vous avez constaté une courte indisponibilité de votre interface d’hébergement ce soir-là, c’était donc une bonne nouvelle : votre hébergeur agissait pour vous protéger.

Faut-il s’inquiéter pour son site WordPress ?

Pour les sites hébergés chez o2switch, cette faille spécifique est désormais corrigée. Mais cet épisode est un rappel important : la sécurité d’un site web ne se résume pas à choisir un bon mot de passe. C’est un effort continu, qui repose sur plusieurs piliers :

• Des mises à jour régulières de WordPress, de ses thèmes et de ses extensions : chaque composant obsolète est une porte d’entrée potentielle pour un attaquant ;
• Une surveillance active pour détecter toute anomalie ou comportement suspect ;
• Des sauvegardes régulières, pour pouvoir restaurer rapidement votre site en cas de problème ;
• Un hébergeur de confiance, qui réagit vite lorsqu’une menace est identifiée.

C’est précisément ce que nous assurons chez TYTAE, à travers nos offres de maintenance WordPress. Notre rôle est de veiller à ce que votre site soit toujours à jour, sécurisé et opérationnel pour que vous puissiez vous concentrer sur votre activité sans vous soucier de la technique.

Et si mon site venait à être piraté ?

Un site piraté, ça peut avoir des conséquences très concrètes, souvent bien plus graves qu’on ne l’imagine :

• Votre site affiche du contenu que vous n’avez pas publié: publicités intrusives, redirections vers des sites frauduleux, messages en langues étrangères… ;
• Google détecte la compromission et blackliste votre site, affichant un avertissement à vos visiteurs ;
• Vos données, ou celles de vos clients, sont potentiellement volées ;
• Votre hébergeur peut suspendre votre compte pour protéger les autres sites sur le même serveur.

Si vous vous retrouvez dans cette situation, TYTAE intervient. Nous proposons une prise en charge des sites piratés ou inaccessibles, avec un diagnostic rapide et une remise en état complète.

La CVE-2026-41940 ne sera pas la dernière

De nouvelles vulnérabilités apparaissent chaque semaine dans les logiciels qui font tourner le web. La CVE-2026-41940 est un exemple parmi d’autres, mais c’est l’un des plus parlants de ces dernières années, tant par son niveau de dangerosité que par l’ampleur de son impact potentiel.

La bonne nouvelle, c’est que face à une menace bien gérée, un hébergeur réactif, des mises à jour appliquées, une surveillance en place, le risque reste maîtrisable. C’est exactement ce que nous construisons avec chacun de nos clients chez TYTAE. Et si vous ne savez pas où en est votre site aujourd’hui, commencez par notre audit technique gratuit : c’est le meilleur moyen de le savoir.