Comment protéger votre hébergement contre la faille cPanel critique exploitée par le ransomware « Sorry »

Lysandre Beauchêne

Protégez votre site avant que la faille cPanel critique ne chiffre vos données

En 2026, plus de 44 000 adresses IP hébergeant des sites via cPanel ont été compromises, selon Shadowserver. Cette vulnérabilité, identifiée sous le numéro CVE-2026-41940, permet à des cybercriminels d’accéder à votre panneau d’administration, d’installer le ransomware « Sorry » et de chiffrer vos fichiers avec une extension .sorry. Si vous gérez un serveur Web, il est crucial de comprendre comment cette faille fonctionne, quels sont les signes d’infection et comment réagir rapidement.

« Decryption is impossible without an RSA-2048 private key », affirme l’expert en ransomware Rivitna.

Dans cet article, nous décortiquons la faille cPanel critique, les mécanismes du ransomware « Sorry », et nous vous livrons un plan d’action détaillé pour sécuriser votre infrastructure.

Comprendre la faille cPanel critique (CVE-2026-41940)

Pourquoi cette vulnérabilité est-elle qualifiée de critique ?

La faille affecte le processus d’authentification de WHM/cPanel. Un attaquant exploite un contournement qui lui donne un accès complet au tableau de bord, même sans identifiants valides. Une fois le panneau compromis, il peut exécuter des scripts privilégiés, installer des services et, surtout, déployer le ransomware.

  • Nature de l’exploit : il s’agit d’une zero-day détectée fin février 2026, avant même la publication d’une mise à jour d’urgence. Pour approfondir votre compréhension des risques, consultez notre analyse détaillée des vulnérabilités zero-day documentées.
  • Impact : accès complet au serveur, vol de bases de données, et chiffrement de tous les fichiers sensibles.
  • Propagation : l’exploitation s’effectue automatiquement via des scanners publics qui ciblent les versions vulnérables de cPanel.

Référentiels et normes associés

  • ANSSI : la Direction générale de la Sécurité du Numérique recommande la mise à jour immédiate des panneaux d’administration.
  • ISO 27001 : l’exigence A.9.2.1 (contrôle d’accès) est violée dès que la faille est exploitée.
  • RGPD : le chiffrement non autorisé constitue une violation de la sécurité des données à caractère personnel.

Le ransomware « Sorry » : fonctionnement et caractéristiques

Technique de chiffrement utilisée

Le ransomware utilise le cipher ChaCha20, réputé pour sa rapidité sur les systèmes Linux. La clé de chiffrement est protégée par une clé publique RSA-2048 intégrée au code malveillant. Sans la clé privée correspondante, les fichiers restent irréversiblement chiffrés.

# Exemple de commande utilisée par le ransomware pour chiffrer un répertoire
openssl enc -chacha20 -in /var/www/html -out /var/www/html.sorry -k $(cat /tmp/rsa_pubkey.pem)

Message de demande de rançon

Dans chaque répertoire touché, le malware crée un fichier README.md contenant les instructions suivantes :

“Contactez-nous via Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724 pour négocier le paiement.”

Le texte est identique pour toutes les victimes, ce qui facilite l’identification du groupe par les analystes.

Cas réel en France

BoutiqueLyon.com, un commerce en ligne spécialisé dans les produits artisanaux, a vu ses centaines de fichiers produits passer de .jpg à .jpg.sorry en moins de deux heures. Le propriétaire a constaté l’apparition du fichier README.md et a immédiatement contacté son hébergeur, qui a pu restaurer les données à partir d’une sauvegarde hors ligne.

Conséquences pour les opérateurs d’hébergement et les administrateurs

Risques immédiats

  1. Perte de données : le chiffrement empêche tout accès aux contenus critiques.
  2. Impact réputationnel : les sites compromis sont listés dans les résultats de recherche comme dangereux, ce qui entraîne une perte de trafic.
  3. Sanctions légales : le non-respect du RGPD peut entraîner des amendes allant jusqu’à 20 M€.

Statistiques supplémentaires

  • Selon l’ANSSI, 0,7 % des serveurs web français utilisent cPanel, parmi lesquels 15 % n’ont pas appliqué la mise à jour de mai 2026.
  • Une enquête de VirusTotal montre que le ransomware « Sorry » a déjà encrypté plus de 2 200 000 fichiers dans le monde.

Mesures de mitigation - ce que vous devez faire dès maintenant

Étapes actionnables (liste numérotée)

  1. Mise à jour immédiate : téléchargez le correctif WHM/cPanel publié le 1 mai 2026 depuis le portail officiel. Vérifiez la version avec la commande /usr/local/cpanel/cpanel -V.
  2. Audit des comptes : révoquez tous les accès inutilisés et forcez la réinitialisation des mots de passe.
  3. Déploiement d’une solution de détection : activez les alertes de Shadowserver et configurez un IDS (Snort ou Suricata) pour détecter les signatures de l’exploit.
  4. Sauvegarde hors ligne : conservez une copie chiffrée de vos bases de données sur un stockage déconnecté du réseau.
  5. Renforcement du serveur SSH : utilisez l’authentification à clé, désactivez l’accès root, et limitez les adresses IP autorisées.

Tableau comparatif des mesures de mitigation

MesureComplexitéTemps de mise en œuvreImpact sur la sécurité
Mise à jour du logicielFaible< 1 heureCritique
Rotation des mots de passeMoyenne1-2 heuresÉlevé
IDS/IPSÉlevée3-4 heuresTrès élevé
Sauvegarde hors ligneFaible30 minutesÉlevé
Renforcement SSHMoyenne1 heureModéré

Bonnes pratiques supplémentaires (liste à puces)

  • Surveillez les logs de WHM : toute connexion inhabituelle doit être investiguée.
  • Utilisez des certificats TLS avec OCSP Stapling pour éviter les attaques de type MITM.
  • Formez votre équipe aux techniques d’ingénierie sociale, car le point d’entrée reste souvent le facteur humain. Découvrez comment les menaces d’ingénierie sociale assistées par IA transforment les attaques traditionnelles.

« Dans la pratique, les attaques réussies reposent sur la lenteur d’intervention des administrateurs », rappelle un analyste de sécurité chez Shadowserver.

Mise en œuvre - guide pas à pas pour les équipes IT

  1. Vérification de la version
    /usr/local/cpanel/cpanel -V
    Si la version affichée est antérieure à 11.112 (mai 2026), vous êtes exposé.
  2. Application du correctif
    • Connectez-vous en SSH en tant que root.
    • Exécutez yum update cpanel-whm ou utilisez le panneau d’administration sous Home → cPanel Updates.
  3. Re-démarrage des services
    /scripts/restartsrv_httpd
/scripts/restartsrv_cpsrvd
  4. Validation post-mise à jour
    • Testez l’accès à WHM depuis une machine non autorisée; la connexion doit échouer.
    • Consultez le fichier /var/log/cpanel.log pour vérifier qu’aucune tentative d’exploitation n’est signalée.
  5. Plan de réponse aux incidents
    • Si un fichier README.md apparaît, lancez immédiatement le protocole de récupération : isolez le serveur, récupérez les sauvegardes, et contactez les autorités compétentes.

Conclusion - Agissez dès aujourd’hui pour éviter le chaos

La faille cPanel critique exploitée par le ransomware « Sorry » représente une menace réelle pour tous les sites hébergés sous cPanel. En appliquant le correctif dès maintenant, en renforçant vos contrôles d’accès et en mettant en place une stratégie de sauvegarde robuste, vous réduisez de façon décisive le risque de voir vos données chiffrées sans espoir de récupération.

Nous vous invitons à passer en revue votre infrastructure, à mettre à jour vos panneaux WHM/cPanel, et à suivre le plan d’action présenté. Le temps presse : chaque minute d’attente augmente la probabilité d’être la prochaine victime de ce vecteur d’attaque.

« La meilleure défense reste une mise à jour proactive et une vigilance continue », conclut l’expert en cybersécurité.