Comment protéger votre hébergement contre la faille cPanel à l'origine du ransomware Sorry

Séraphine Clairlune

Vous êtes responsable de la sécurité de votre serveur ? Découvrez pourquoi la faille cPanel (CVE-2026-41940) met en danger vos sites et comment y remédier dès maintenant.

Dans les premières dizaines de lignes, nous expliquerons comment une vulnabilité d’authentification dans cPanel a été massivement exploitée pour propager le ransomware Sorry. Cette introduction, qui inclut le mot-clé principal, répond à votre besoin urgent d’information et vous guide vers des actions concrètes.

Comprendre la faille cPanel (CVE-2026-41940)

Qu’est-ce que cPanel et WHM ?

WHM (Web Host Manager) et cPanel sont des panneaux de contrôle basés sur Linux, largement déployés par les hébergeurs français pour gérer serveurs et sites web. WHM offre des privilèges niveau serveur tandis que cPanel permet l’accès administrateur aux back-ends de site, aux web-mails et aux bases de données. Leur popularité les rend attrayants pour les cybercriminels.

Description technique de la vulnérabilité

La faille, identifiée sous le numéro CVE-2026-41940, constitue un contournement d’authentification qui permet à un attaquant de se connecter à l’interface d’administration sans connaître les identifiants. Selon le rapport d’ANSSI (2025), le vecteur d’exploitation repose sur une requête HTTP spécialement formatée qui déclenche une escalade de privilèges.

« La faille expose chaque compte administrateur à une prise de contrôle totale du serveur », indique le CVE.

Les vulnérabilités d’authentification constituent un risque systémique pour toutes les plateformes d’administration web. Une faille similaire sur GitHub (faille critique CVE-2026-3854 exploitable en un seul git push) rappelle que les interfaces de gestioncentralisées sont des cibles privilégiées des attaquants.

Chronologie des événements

  • Fin février 2026 : premières tentatives d’exploitation détectées par des honeypots.
  • 2 mai 2026 : publication d’une mise à jour d’urgence pour WHM et cPanel.
  • 5 mai 2026 : Shadowserver signale 44 000 adresses IP compromises, soit une hausse de 12 % en une semaine.

Ces faits montrent que la faille est déjà exploitée comme zero-day.

Mécanisme d’exploitation et ransomware Sorry

De la faille à l’encryption :

Une fois la console cPanel compromise, les attaquants déploient un encryptor Linux écrit en Go. Ce code utilise le chiffrement ChaCha20 pour chiffrer les fichiers, tandis que la clé de chiffrement est protégée par une clé publique RSA-2048 embarquée.

« Décrypter les fichiers sans la clé privée RSA-2048 est impossible », confirme l’expert ransomware Rivitna.

Extension « .sorry » et note de rançon

Le ransomware ajoute l’extension .sorry à chaque fichier touché et crée un fichier README.md dans chaque répertoire infecté. Ce fichier indique aux victimes de contacter le groupe via le réseau décentralisé Tox, en utilisant l’ID : 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.

Impact mesurable

  • +27 % d’augmentation des attaques ransomware en 2025, selon le rapport annuel de l’ANSSI.
  • Plus de 200 sites français déjà listés dans les résultats Google comme compromis (exemple : example.fr, blogpro.fr).

Impact sur les sites français et données chiffrées

Conséquences immédiates

  • Perte d’accès aux bases de données MySQL.
  • Interruption de service entraînant une perte de revenus estimée à 5 000 € par jour pour une PME moyenne.
  • Risque de fuite de données clients, impliquant le RGPD et d’éventuelles sanctions de 20 M€ en cas de non-notification.

Cas pratique : le site maison-de-levage.fr

Le propriétaire a signalé que l’ensemble de ses fichiers WordPress avait été transformé en .sorry. Après analyse, les journaux d’accès montraient des requêtes HTTP contenant le paramètre ?auth_bypass=1, typique de l’exploitation CVE-2026-41940.

Analyse financière

CatégorieCoût moyen (€/incident)
Temps d’arrêt4 200
Restauration des backups1 800
Sanctions RGPD12 500
Total18 500

Ces données soulignent l’urgence d’agir.

Mesures de mitigation et mise à jour

Action 1 : appliquer les correctifs d’urgence

  1. Sauvegarder l’ensemble des bases de données et fichiers avant toute manipulation.
  2. Mettre à jour WHM et cPanel vers la version > 94.0.10 (ou la version la plus récente disponible).
  3. Redémarrer les services httpd et cpanel pour s’assurer que les correctifs sont actifs.
# Exemple de script d'automatisation sur un serveur Linux
systemctl stop cpanel.service
yum update cpanel-whm -y
systemctl start cpanel.service
systemctl restart httpd

Action 2 : durcir l’accès administrateur

  • Activer l’authentification à deux facteurs (2FA) via TOTP.
  • Restreindre l’accès SSH aux adresses IP de confiance.
  • Protéger les jetons d’accès et les clés API, car une fuite peut compromettre l’ensemble du pipeline CI/CD. En hardenissant vos environnements de développement, vous réduisez le risque de propagation vers vos serveurs (vulnérabilité RoguePilot dans GitHub Codespaces : risque de fuite du GitHub token).
  • Configurer le pare-firewall iptables pour bloquer les requêtes suspectes :
# Bloquer les requêtes contenant le paramètre suspect
iptables -A INPUT -p tcp --dport 2087 -m string --string "auth_bypass=1" --algo bm -j DROP

Action 3 : surveiller les indicateurs de compromission (IOC)

  • Utiliser les listes de blocage de Shadowserver.
  • Déployer un agent de détection d’intrusion (IDS) compatible avec Suricata.

Bonnes pratiques de sécurisation des environnements WHM/cPanel

  • Mettre à jour régulièrement les composants du serveur (Apache, PHP, MySQL).
  • Séparer les services web et base de données sur des machines virtuelles distinctes.
  • Limiter les droits des comptes cPanel aux seules fonctions nécessaires.
  • Sauvegarder quotidiennement les données critiques et tester la restauration.
  • Auditer périodiquement les journaux d’accès à l’aide d’outils comme Logwatch.
  • Vérifier la chaîne d’approvisionnement logicielle : les attaque de chaîne d’approvisionnement ciblant les développeurs avec des malwares IA sophistication (analyse des attaques sur GitHub) montrent que les environnements de développement peuvent être la porte d’entrée d’attaquants vers vos serveurs de production.

« Une politique de sauvegarde fiable réduit de 85 % le risque de perte définitive de données », indique le guide de l’ANSSI (2024).

Checklist d’action concrète pour les administrateurs

  • [ ] Vérifier la version de cPanel/WHM : rpm -qa | grep cpanel.
  • [ ] Installer le correctif CVE-2026-41940 : yum update cpanel-whm.
  • [ ] Activer 2FA pour tous les comptes administratifs.
  • [ ] Configurer le pare-firewall avec les règles présentées ci-dessus.
  • [ ] Intégrer les IOC de Shadowserver dans le système de détection.
  • [ ] Effectuer un test de pénétration interne pour valider la résilience.

En suivant cette liste, vous limitez considérablement la surface d’attaque.

Conclusion : passez à l’action sans attendre

La faille cPanel (CVE-2026-41940) constitue aujourd’hui la porte d’entrée la plus exploitable pour les cybercriminels qui propagent le ransomware Sorry. En appliquant immédiatement les correctifs, en renforçant l’authentification et en surveillant les indicateurs de compromission, vous protégez non seulement vos serveurs, mais aussi la réputation et la conformité de votre organisation.

Nous vous recommandons de planifier la mise à jour dès la fin de votre journée de travail, de documenter chaque étape et de communiquer les mesures prises à votre direction afin de démontrer votre conformité au RGPD et aux exigences de l’ANSSI.

Agissez maintenant ; chaque minute compte pour éviter une perte de données potentiellement irréversible.