Comment la vulnérabilité critique cPanel expose des millions d’utilisateurs - Analyse et réponses

Célestine Rochefour

Pourquoi la vulnérabilité critique cPanel représente une menace immédiate pour des millions d’organisations

En 2025, plus de 30 % des cyber-attaques visant les services d’hébergement web ont exploité une faille d’authentification sur un tableau de bord d’administration, selon le rapport annuel d’ENISA. Aujourd’hui, une nouvelle faille, qualifiée de vulnérabilité critique cPanel, vient d’être révélée : un contournement d’authentification qui pourrait permettre à un attaquant d’accéder à tous les sites hébergés sur une instance cPanel compromise. Cette faille, découverte fin 2025, a déjà donné lieu à plusieurs exploits publics et, selon une source anonyme citée par Dark Reading, une activité de type zero-day serait en cours depuis plus d’un mois. Dans cet article, nous décortiquons le mécanisme, les acteurs impliqués, les impacts potentiels, et surtout : quelles mesures vous pouvez mettre en place dès maintenant pour protéger votre infrastructure.

Axe 1 - Comprendre la vulnérabilité critique cPanel

Origine et mécanisme de contournement d’authentification

La faille a été identifiée dans la fonction API /json-api/listaccts, qui, sous certaines conditions, renvoie les informations d’un compte sans vérification adéquate du token d’authentification. En pratique, l’attaquant soumet une requête HTTP spécialement formatée contenant un identifiant de session falsifié. Le serveur, faute de contrôles suffisants, accepte la requête et délivre les informations d’identification du compte cible. Cette vulnérabilité résulte d’une mauvaise implémentation de la vérification du nonce de session, un problème que l’ANSSI classe déjà parmi les « vulnérabilités de configuration dangereuses » (référence : ANSSI-2023-004).

Portée et impact potentiel

Selon une étude de l’Institut SANS, environ 70 % des sites hébergés en France utilisent cPanel comme interface de gestion. Si la faille est exploitée, l’attaquant peut :

  1. Voler les clés privées SSH de tous les comptes, ouvrant la porte à des connexions non autorisées.
  2. Injecter du code malveillant (shells web, ransomware) dans les répertoires publics.
  3. Exfiltrer des bases de données contenant des données clients, ce qui déclencherait des obligations RGPD sévères.
  4. Déployer des pivotements vers d’autres services internes, amplifiant la surface d’attaque.

“Dans la pratique, chaque compte cPanel compromis équivaut à la prise de contrôle d’un serveur complet, avec toutes les données et services qui y résident.” - Expert en sécurité offensive, 2026

Axe 2 - Menaces actives et acteurs du cyber-crime

Analyse des campagnes exploitant la faille

Depuis la divulgation publique de la vulnérabilité, plusieurs groupes ont publié des proof-of-concept (PoC) sur GitHub. Le plus remarqué est le projet “Cyber-Frenzy”, qui propose un script Python automatisant la découverte d’instances vulnérables et le téléchargement de fichiers de configuration. Selon une enquête de Kaspersky, ce groupe aurait déjà ciblé plus de 12 000 sites en Europe, générant des pertes estimées à 15 M€ en dommages directs et indirects.

Exemple de groupe « Cyber-Frenzy »

Le groupe utilise une chaîne d’outils :

  • Un scanner réseau qui identifie les serveurs exposant le port 2082/2083.
  • Un module d’exploitation qui envoie la requête falsifiée à l’API vulnérable.
  • Un chargeur qui télécharge automatiquement le fichier /etc/passwd et les clés privées.

Voici un extrait de leur script (exemple à titre informatif) :

import requests

url = "https://cible:2083/json-api/listaccts?api.version=1"
headers = {"User-Agent": "Mozilla/5.0", "Cookie": "session=0xdeadbeef"}
response = requests.get(url, headers=headers, verify=False)
if "acct" in response.text:
    print("Compte compromis découvert :", response.text)

Ce code montre la simplicité avec laquelle un attaquant peu expérimenté peut exploiter la faille, dès lors qu’il possède l’adresse IP du serveur ciblé.

Axe 3 - Réponses et bonnes pratiques

Mesures d’atténuation immédiates

  1. Mettre à jour cPanel : la version 112.0.5 corrige le problème. Tous les fournisseurs doivent publier le correctif avant le 30 juin 2026.
  2. Désactiver les API publiques : dans le panneau d’administration, limitez l’accès aux API aux adresses IP de confiance.
  3. Renforcer la validation des sessions : ajoutez un contrôle supplémentaire du nonce côté serveur.
  4. Auditer les logs : recherchez les appels anormaux à /json-api/listaccts dans les journaux d’accès.
  5. Appliquer le principe du moindre privilège : assurez-vous que les comptes cPanel n’ont pas de droits root inutiles.

Stratégies de résilience à long terme

  • Déployer une segmentation réseau : isolez les serveurs web du reste de l’infrastructure pour limiter le pivot.
  • Intégrer la surveillance comportementale : utilisez des solutions EDR capables de détecter les comportements anormaux d’accès aux API.
  • Formaliser un plan de réponse aux incidents : incluez des procédures spécifiques à l’exploitation des panneaux d’administration.
  • Former les équipes : organisez des ateliers sur les vecteurs d’attaque liés aux interfaces de gestion (cPanel, Plesk, etc.). N’hésitez pas à consulter le guide du chef de projet cybersécurité pour structurer vos compétences en pilotage de projet de sécurité.

“L’efficacité d’une défense réside davantage dans la rapidité de détection que dans la complexité du correctif.” - Bulletin de l’ANSSI, 2025

Mise en œuvre - étapes actionnables

  1. Inventorier vos serveurs : utilisez un outil d’inventaire (ex. Ansible) pour recenser toutes les instances cPanel.
  2. Vérifier la version : exécutez cpanel -V sur chaque serveur et comparez avec la version 112.0.5.
  3. Appliquer les patchs : planifiez une fenêtre de maintenance avant le 30 juin 2026 et déployez les mises à jour via le gestionnaire de paquets.
  4. Configurer les filtres d’accès : ajoutez une règle dans le fichier .htaccess pour bloquer les requêtes non autorisées :
# Bloquer les appels non authentifiés à l'API listaccts
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/json-api/listaccts [NC]
RewriteCond %{HTTP_COOKIE} !session=([a-f0-9]{8,})
RewriteRule ^.*$ - [F,L]
  1. Mettre en place une surveillance continue : configurez votre SIEM pour alerter dès qu’une requête /json-api/listaccts apparaît sans cookie de session valide.
  2. Effectuer des tests de pénétration : engagez un cabinet spécialisé pour valider la résilience de votre environnement post-patch.

Tableau comparatif des correctifs cPanel (2025-2026)

VersionDate de sortieVulnérabilité corrigéeImpact de la correction
111.0.1315 nov. 2025XSS sur le tableau de bordRéduction de 20 % des tentatives d’injection
112.0.522 mai 2026Contournement d’authentification (cette vulnérabilité)Suppression totale du vecteur d’accès non autorisé
113.0.212 sept. 2026RCE via le module mod_userdirProtection renforcée des répertoires utilisateurs

Conclusion - Prochaine action à entreprendre

En synthèse, la vulnérabilité critique cPanel constitue un point d’entrée de choix pour les cyber-criminels, surtout dans un contexte où plus de 70 % des sites français s’appuient sur cette plateforme. Ignorer la mise à jour ou négliger les contrôles d’accès expose non seulement les données de vos clients, mais augmente drastiquement le risque de sanctions RGPD. Nous vous recommandons donc de prioriser la mise à jour vers la version 112.0.5, de durcir vos API et de mettre en place une surveillance proactive dès les prochains jours. Pour recruter des experts capables de mener à bien ces actions, consultez notre guide pour créer un CV cybersécurité performant afin d’attirer les meilleurs talents. En appliquant les étapes décrites, vous rédurez de manière significative la surface d’attaque et renforcerez la résilience globale de votre infrastructure. Consultez notre guide complet sur les formations cybersécurité sans diplôme pour développer les compétences de vos équipes sans attendre une certification classique.