Faille de sécurité Prestashop -

Faille de sécurité Prestashop

Le 22 juillet dernier, Prestashop a sorti un article au sujet d’une faille importante de sécurité découverte quelques jours plus tôt. Cette faille concerne les versions entre 1.6.0.10 et 1.7.8.1, c’est à dire un grand nombre de sites, puisque la version était alors la version 1.7.8.6 !!!

On peut également mentionner que même les sites Prestashop en version 1.7.8.2 ou supérieure ont pu être touchés si jamais ils utilisent des modules vulnérable aux « injections SQL ».

 

Qu’est-ce que cela veut dire ?

Pour faire simple, un site internet est composé de fichiers et (en général) d’une base de données. C’est le cas si vous utilisez un CMS (WordPress, Joomla, Prestashop,…). Ces sites possèdent en principe un ou plusieurs formulaires.  Ces formulaires permettent au visiteur de se connecter dans un espace privé, d’envoyer un message au gestionnaire du site, de payer en ligne, etc.

Lorsqu’une personne remplit et valide un formulaire, les données saisies dans le formulaire sont envoyées sur le serveur et une « requête » contenant les informations est exécutée sur la base de données. Par exemple sur un formulaire de connexion, la requête va « demander » à la base de données de rechercher un utilisateur ayant l’adresse e-mail et le mot de passe saisis par l’utilisateur.

Lorsque le formulaire n’est pas bien codé, les données saisies par l’utilisateur sont transmises « telles quelles » et injectées dans la base de données. C’est pour cela que l’on parle « d’injection SQL ». Ainsi, une personne mal intentionnée aura tout le loisir de mettre certaines données qui vont lui permettre de modifier la requête, et ainsi faire ce qu’elle veut, notamment entrer sur le site sans connaître les identifiants.

Pour revenir à Prestashop, les hackers ont tiré profit d’une faille de sécurité au niveau du cache de Smarty (le système de templating). Après avoir pris contrôle de la boutique, ils injectent un faux formulaire de paiement sur la page de commande et récupèrent ainsi les données de carte bancaire envoyées par le client.

 

Comment faire ?

Première possibilité

Quelle que soit la version de Prestashop que vous utilisez, il est conseillé de vérifier si vous n’avez pas été victime de ces hackers.

Pour cela je vous conseille l’excellent module développé par Mathias Reker, que vous trouverez ici : https://github.com/MathiasReker/blmvuln

Installez le module et cliquez sur le bouton de configuration. Vous obtiendrez quelque chose de ce genre :

Dans cet exemple j’ai de la chance car aucun module n’est à mettre à jour. Cela signifie que mes modules sont bien à jour et aucun d’entre eux ne comprend de faille.

Cependant, comme c’est une version 1.7.8.5, il comprend la faille de sécurité détectée par Prestashop. Le module l’a bien détecté et il permet de corriger cela très facilement. Il suffit de cliquer sur le bouton « Run the cleaning process ». Une fois que c’est fait, tout passe au vert, m’indiquant que mon site est maintenant protégé !

Vous pouvez désinstaller le module.

Deuxième possibilité

Si techniquement vous n’êtes pas à l’aise avec la procédure, ne vous embêtez pas.

Vous pouvez simplement faire l’upgrade de votre site car Prestashop a sorti un patch hier.

Vous trouverez ici la version 1.7.8.7 : https://www.prestashop.com/en/versions

 

Conclusion

Cette actualité montre une fois de plus qu’il est primordial de maintenir son site et les modules associés à jour. La protection vient de la fréquence de maintenance de votre site.

Chez Kookiapps les sites sont sauvegardés tous les jours.  Tous les lundis nous faisons les mises à jour des modules si nécessaire.

Petit conseil au passage, lorsque vous choisissez un module pour Prestashop il faut prendre en compte :

  • Le nombre d’installations déjà faites par d’autres utilisateurs
  • La date de la dernière mise à jour du module

Si un module n’est pas mis à jour régulièrement par le développeur, vous allez aller rapidement vers les ennuis.

J’espère que cet article vous aura été utile et que vous avez pu faire le nécessaire. Si vous avez besoin d’aide ou de conseils pour la manip ou installer le patch, n’hésitez pas à nous contacter !

 

Partager

Laisser un commentaire

Qui est Alexia ?

Diplômée d’HEC Master Marketing et Digital, Administratrice Nationale de Cinov-IT, Formatrice à la CCI de La Rochelle, Alexia est passionnée par le web et le marketing.