Récap sécurité web printemps 2026 : ce qui a changé en six semaines

Entre la fin avril et la mi-mai 2026, l'agenda de la sécurité web s'est rempli plus vite qu'à l'ordinaire. Des CVE sur des frameworks web, un risque de ver Windows, une porte dérobée dans une extension WordPress installée 70 000 fois, une panne Let's Encrypt et de nouvelles recherches sur la vitesse à laquelle des empreintes de mots de passe courantes peuvent être cassées. Voici un récapitulatif factuel pour le site d'une petite entreprise.

Frameworks et serveurs web

SPIP — CERTFR-2026-AVI-0564, 12 mai 2026. Le CERT-FR a publié un avis pour les versions de SPIP antérieures à 4.4.14, avec risque d'exécution de code arbitraire à distance. Mettre à jour vers SPIP 4.4.14 ou supérieur.

Spring — CERTFR-2026-AVI-0554, 11 mai 2026. Cinq CVE pour Spring Cloud Function et Spring (CVE-2026-40989, CVE-2026-40990, CVE-2026-41705, CVE-2026-41712, CVE-2026-41713), couvrant atteinte à la confidentialité, contournement de politique de sécurité, déni de service à distance et exécution de code arbitraire à distance. Versions affectées : Spring Cloud Function antérieures à 3.2.16, 4.1.10, 4.2.6, 4.3.3 et 5.0.2.

NGINX — CVE-2026-42945, 14 mai 2026. Un dépassement de tampon dans le module rewrite, CVSS 9.2, dans NGINX Open Source de 0.6.27 à 1.30.0. Corrigé dans 1.31.0 et 1.30.1. Peut provoquer un déni de service et, ASLR désactivé, une exécution de code à distance. La faille était présente depuis 18 ans.

cPanel — CVE-2026-29202, divulgué le 8 mai 2026. CVSS 8.8. Un utilisateur authentifié peut exécuter du code Perl arbitraire sur la machine sous-jacente. En hébergement mutualisé, n'importe quel titulaire de compte peut s'en servir contre les sites voisins du même serveur.

WordPress

Porte dérobée dans Quick Page/Post Redirect — Security.NL, 30 avril 2026. Le chercheur Austin Ginder a découvert que l'extension, avec plus de 70 000 installations actives, contenait deux portes dérobées : injection de contenu et installation de mises à jour depuis un domaine malveillant (de facto exécution de code à distance). Le code malveillant aurait été ajouté en 2021. WordPress.org a retiré l'extension du dépôt officiel. Si vous l'avez installée, désactivez-la et supprimez-la.

Pour les quatre autres vulnérabilités d'extensions WordPress de mars-avril 2026 (MW WP Form, Perfmatters, Tutor LMS Pro, Smart Slider 3), voir notre récap dédié aux extensions WP.

Confiance et certificats

Panne Let's Encrypt — 8-9 mai 2026, environ 2,5 heures. Les nouvelles autorités racines et intermédiaires créées manquaient de l'extension EKU serverAuth exigée par la politique du Common CA Database. Let's Encrypt a suspendu l'émission pour corriger la configuration, puis a repris. Les sites dont le renouvellement tombait dans cette fenêtre ont peut-être dû réessayer.

DNSSEC et renouvellements SSL — Blog Sucuri, 4 mai 2026. Marc Kranat (Sucuri) explique comment le Ballot SC-085v2 du CA/Browser Forum, totalement mis en œuvre en mars 2026, impose une validation DNSSEC stricte lors de l'émission et du renouvellement. Causes courantes d'échec : enregistrements DS incorrects ou absents chez le registraire, signatures RRSIG expirées, rotations de clés incomplètes, données signées incohérentes entre les serveurs de noms, décalage d'horloge ou d'algorithme. Outils de diagnostic : DNSViz, Zonemaster, delv.

Cryptographie

60 % des hachages MD5 cassés en moins d'une heure — Kaspersky, 7 mai 2026. Avec une seule Nvidia RTX 5090, Kaspersky a testé plus de 231 millions de mots de passe uniques issus de fuites du dark web. 60 pour cent ont été cassés en moins d'une heure, 48 pour cent en moins de 60 secondes. Conséquence pratique : si votre site stocke encore des mots de passe en MD5 (ou tout autre hachage rapide non salé), considérez qu'en cas de fuite ils sont déjà récupérés. Passez à bcrypt, scrypt ou Argon2.

Infrastructure Windows

Trois CVE Windows wormables — Security.NL, 13 mai 2026. Le Patch Tuesday de mai contenait CVE-2026-41089 (Windows Netlogon, exécution de code à distance sur contrôleurs de domaine, sans identifiants) ; CVE-2026-41096 (client DNS Windows, RCE via réponses DNS malveillantes) ; et CVE-2026-40415 (Windows TCP/IP, RCE non authentifiée, bien que Microsoft note que l'exploitation est "considerably less likely" à cause de contraintes mémoire). Les correctifs sont disponibles. Si vous exploitez Windows Server, appliquez-les.

Ce que cela donne au total

Le NCSC britannique a publié le 1er mai 2026 un billet intitulé "Preparing for a vulnerability patch wave", affirmant que les outils d'IA accélèrent la découverte de vulnérabilités et que les organisations doivent s'attendre à davantage de divulgations, plus vite, sur toute la pile. Les six semaines résumées ci-dessus ressemblent assez à cela en pratique : chaque surface importante (framework web, panneau d'hébergement, serveur web, extension WordPress, autorité de certification publique, OS) a eu quelque chose à annoncer.

Pour une petite entreprise, la réponse n'est pas la panique mais la routine. Trois habitudes couvrent l'essentiel :

1. Activez les mises à jour automatiques pour le cœur de WordPress, les extensions et votre système d'exploitation. Les exceptions (extensions payantes, intégrations sur mesure) doivent être une liste courte que vous gérez activement, pas la règle.
2. Suivez les services tiers dont dépend votre site, pour être informé d'un avis critique en quelques heures et non plusieurs semaines plus tard.
3. Cessez de stocker des hachages rapides non salés pour des identifiants. Si vous n'avez pas audité votre stockage de mots de passe en 2026, faites-le cette semaine.

La checklist de sécurité pour petites entreprises et le guide sur les extensions WordPress vulnérables couvrent les fondamentaux.

Sources : CERT-FR AVI-0564 — SPIP, CERT-FR AVI-0554 — Spring, BleepingComputer — NGINX CVE-2026-42945, Security.NL — cPanel CVE-2026-29202, Security.NL — Panne Let's Encrypt, Blog Sucuri — DNSSEC et SSL, The Register / Kaspersky — MD5, Security.NL — CVE Windows wormables, Security.NL — Porte dérobée Quick Page/Post Redirect, NCSC — Vulnerability patch wave.