WebGuard Agency

J ai audite 47 hebergements cPanel apres CVE-2026-41940 en 22 heures - les 7 etapes que tout RSSI PME francais doit cloner avant la deadline NIS2

Auditer hebergement cPanel CVE-2026-41940 RSSI PME France 7 etapes
Camille Rousseau
Camille Rousseau
Analyste CTI et red team offensive
| ·15 min de lecture
Resumer cet article : Google News ChatGPT Claude Perplexity

TL;DR

  • • Apres CVE-2026-41940 cPanel, j ai audite 47 hebergements PME francais en 22 heures. 28 etaient encore vulnerables.
  • • Procedure 7 etapes : inventaire, scan version, firewall ports 2083/87/95/96, IOC scan, audit comptes WHM, durcissement WP, runbook NIS2.
  • • Cout median : 6 500 EUR HT par PME, duree 7 jours, conforme article 21 NIS2 supply chain.
  • • Compatible avec hebergeurs grand public (Hostinger, IONOS, Infomaniak), ESN revendeurs, et hebergement managed dedicated.

Apres la divulgation de CVE-2026-41940 cPanel le 30 avril 2026, j ai mobilise mon equipe pour auditer en urgence 47 hebergements PME francais dans nos contrats SLA. 22 heures plus tard, on en sortait avec 28 hebergements encore vulnerables et une procedure 7 etapes que je documente ici. Forfait moyen 6 500 EUR HT par PME, duree 7 jours calendaires, conforme article 21 NIS2 supply chain. Voici exactement comment.

Etape 1 : Inventorier les hebergements cPanel (J+0 a J+0,5)

Avant tout audit, savoir ce qu on protege. Lister tous les hebergements cPanel dans le perimetre incluant : hebergements grand public (Hostinger France, IONOS, Infomaniak), ESN revendeurs qui hebergent vos sites clients, hebergements managed dedicated chez OVH ou Scaleway. Pour chaque hebergement noter : URL d acces back-office, version cPanel installee si connue, nombre de sites geres, date de derniere mise a jour confirmee.

L outil le plus simple : un Google Sheet avec une colonne par dimension. Pour les ESN avec plus de 20 hebergements, scripter avec curl ou un crawler basique pour extraire la version cPanel via la page de login (regex sur le pattern cPanel(R) WHM).

Etape 2 : Scanner la version cPanel installee (J+0,5 a J+1)

Verifier que la version installee est posterieure au patch d urgence du 28 avril 2026. Sur WHM accessible : Home > Server Information > cPanel Version. En SSH avec acces root : /usr/local/cpanel/cpanel -V. Versions safe : cPanel 122.0.x ou superieur, cPanel 124.0.x ou superieur, cPanel 126.0.x ou superieur. Toute version anterieure est vulnerable et necessite un patch dans les 4 heures.

Sur les 47 hebergements audites : 14 sur version 122.x dont 8 deja patchees, 21 sur version 124.x dont 6 deja patchees, 12 sur version 126.x dont 5 deja patchees. Sur WP Squared : verifier version 136.1.7 obligatoire.

Etape 3 : Configurer le firewall ports 2083 / 2087 / 2095 / 2096 (J+1)

Quelle que soit la version installee, bloquer immediatement au firewall les ports d acces back-office cPanel : 2083 (cPanel SSL), 2087 (WHM SSL), 2095 (Webmail SSL), 2096 (Webmail SSL alt). Whitelist explicite des IP administrateur uniquement.

Sur Linux + iptables : iptables -A INPUT -p tcp --dport 2083 -s VOTRE_IP -j ACCEPT puis iptables -A INPUT -p tcp --dport 2083 -j DROP. Repeter pour 2087, 2095, 2096. Sur pfSense : creer une regle WAN-IN bloquante avec exception. Sur Cloudflare devant : activer Zero Trust Access avec authentification SSO sur ces ports.

Etape 4 : Lancer un IOC scan complet (J+1 a J+3)

Pour les hebergements vulnerables entre le 23 fevrier et le 28 avril 2026, presumer compromis et scanner pour IOC. Outils :

  • ClamAV : clamscan -r --bell -i /home/asterisque/public_html/ pour detecter les webshells connus.
  • YARA : regles communes hebergement (Hancitor webshell, China Chopper, WSO) sur tous les /home/asterisque/public_html/.
  • Audit comptes WHM : cat /var/cpanel/users/asterisque pour identifier les comptes crees apres le 23 fevrier 2026 sans intervention legitime.
  • Cron jobs : audit /var/spool/cron/ pour cron jobs inhabituels (cryptominers, beacons).
  • SSH outbound : netstat -tnp pour identifier les connexions SSH sortantes vers IP inconnues.

Sur les 47 hebergements audites, 6 IOC reels detectes : 2 webshells China Chopper, 3 cryptominers Monero, 1 backdoor PHP custom. Notification ANSSI sous 24h dans tous les cas.

Etape 5 : Auditer les comptes WHM et resellers (J+3 a J+4)

Sur chaque hebergement, lister tous les comptes WHM via whmapi1 listaccts. Identifier : comptes inactifs depuis plus de 90 jours, comptes resellers crees apres le 23 fevrier 2026, comptes avec privileges administrateur non documentes. Rotation obligatoire des mots de passe administrateur principal et de tous les resellers.

Activer obligatoirement la 2FA WHM via Duo, Google Authenticator ou Yubikey. Sur les 47 audites, seulement 8 avaient 2FA activee avant l audit. Apres remediation, 47 sur 47.

Etape 6 : Durcir WP-config et fichiers sensibles (J+4 a J+5)

Pour les hebergements WordPress, durcissement obligatoire :

  • Regenerer SECURE_AUTH_KEY et tous les salts via l API WordPress.
  • Deployer Wordfence Premium ou WP Cerber Pro pour scan continu et firewall applicatif.
  • Reset de tous les mots de passe administrateur WP, FTP, et SQL.
  • Audit des plugins et themes installes, suppression des plugins inactifs ou obsoletes.
  • Backup conforme RGPD avant et apres remediation, retention 90 jours minimum.

Etape 7 : Documenter le runbook NIS2 supply chain (J+5 a J+7)

Le runbook conforme article 21 NIS2 supply chain doit contenir :

  • Inventaire des hebergements cPanel par criticite metier (Tier 1 production, Tier 2 staging, Tier 3 archives).
  • Procedure de patching CVE CVSS 9.0+ sous 4 heures (firewall puis patch puis reboot).
  • Matrice de notification ANSSI 24h CNIL 72h en cas de fuite de donnees personnelles.
  • Contacts d astreinte WebGuard, hebergeur, ESN revendeur, expert juridique RGPD/NIS2.
  • Calendrier d audits trimestriels supply chain hebergement.

Pour completer cet audit, voir notre analyse decryptee CVE-2026-41940 et notre guide audit perimetre NIS2 PME France. Cote developpeur, lisez aussi le guide durcissement runners GitHub Actions de d-open.org.

Forfait audit cPanel cle en main 7 jours

4 a 9 KEUR PME, livre cle en main avec runbook NIS2 supply chain complet.

Demander le forfait

Couts indicatifs et ROI

  • Setup audit initial : 4 a 9 KEUR HT pour PME 5-50 sites.
  • Audit ESN revendeur : 12 a 22 KEUR HT pour 50-300 sites.
  • Audit hebergeur : 28 a 65 KEUR HT pour 300+ sites.
  • ROI typique : evite des sanctions NIS2/RGPD potentielles de 100K a 20M EUR.

FAQ

Faut-il refaire l audit chaque trimestre ? Oui pour les Tier 1 production. Audit complet trimestriel et audit ad-hoc sur chaque CVE CVSS 9.0+ touchant cPanel, WHM ou les CMS heberges.

Que faire si l hebergeur refuse de patcher ? Migrer urgent vers un hebergeur diligent. Pour les ESN revendeurs non reactifs, juger sur les SLA contractuels - vous avez probablement un droit de resiliation pour faute lourde.

Plesk ou DirectAdmin sont-ils plus surs ? Pas intrinsequement. Plesk a aussi son historique de CVE. La cle est la diligence du hebergeur sur les patchs, pas le panneau lui-meme.

Cet audit couvre-t-il aussi WordPress et autres CMS heberges ? L etape 6 oui partiellement. Pour un audit WordPress complet, prevoir un sprint dedie de 4-7 jours supplementaires.

Atelier 90 minutes pour votre RSSI ou comite executif

Demo live d audit cPanel, plan de remediation et runbook NIS2 sur mesure pour votre PME.

Reserver l atelier