
PrestaShop vulnérable à une attaque de type injection SQL
Le 22 juillet dernier un article est sorti au sujet d’une faille de sécurité Prestashop importante découverte quelques jours plus tôt. Cette faille de sécurité Prestashop concerne les versions entre 1.6.0.10 et 1.7.8.1, c’est à dire un grand nombre de sites, puisque la version était alors la version 1.7.8.6 !!!
On peut également mentionner que même les sites Prestashop en version 1.7.8.2 ou supérieure ont pu être touchés si jamais ils utilisent des modules vulnérable aux « injections SQL ».
Faille de sécurité Prestashop qu’est-ce que cela veut dire ?
Pour faire simple, un site internet est composé de fichiers et (en général) d’une base de données. C’est le cas si vous utilisez un CMS (WordPress, Joomla, Prestashop,…). Ces sites possèdent en principe un ou plusieurs formulaires. Ces formulaires permettent au visiteur de se connecter dans un espace privé, d’envoyer un message au gestionnaire du site, de payer en ligne, etc.
Lorsqu’une personne remplit et valide un formulaire, les données saisies dans le formulaire sont envoyées sur le serveur et une « requête » contenant les informations est exécutée sur la base de données. Par exemple sur un formulaire de connexion, la requête va « demander » à la base de données de rechercher un utilisateur ayant l’adresse e-mail et le mot de passe saisis par l’utilisateur.
Lorsque le formulaire n’est pas bien codé, les données saisies par l’utilisateur sont transmises « telles quelles » et injectées dans la base de données. C’est pour cela que l’on parle « d’injection SQL ». Ainsi, une personne mal intentionnée aura tout le loisir de mettre certaines données qui vont lui permettre de modifier la requête, et ainsi faire ce qu’elle veut, notamment entrer sur le site sans connaître les identifiants.
Pour revenir à la faille de sécurité de Prestashop, les hackers ont tiré profit d’une faille de sécurité au niveau du cache de Smarty (le système de templating). Après avoir pris contrôle de la boutique, ils injectent un faux formulaire de paiement sur la page de commande et récupèrent ainsi les données de carte bancaire envoyées par le client.
Comment faire réparer la faille de sécurité Prestashop?
Première possibilité
Quelle que soit la version de Prestashop que vous utilisez, il est conseillé de vérifier si vous n’avez pas été victime de ces hackers.
Pour cela je vous conseille l’excellent module développé par Mathias Reker, que vous trouverez ici : https://github.com/MathiasReker/blmvuln
Installez le module et cliquez sur le bouton de configuration. Vous obtiendrez quelque chose de ce genre :
Dans cet exemple j’ai de la chance car aucun module n’est à mettre à jour. Cela signifie que mes modules sont bien à jour et aucun d’entre eux ne comprend de faille.
Cependant, comme c’est une version 1.7.8.5, il comprend la faille de sécurité détectée par Prestashop. Le module l’a bien détecté et il permet de corriger cela très facilement. Il suffit de cliquer sur le bouton « Run the cleaning process ». Une fois que c’est fait, tout passe au vert, m’indiquant que mon site est maintenant protégé !
Vous pouvez désinstaller le module.
Deuxième possibilité pour réparer la faille de sécurité Prestashop
Si techniquement vous n’êtes pas à l’aise avec la procédure, ne vous embêtez pas.
Vous pouvez simplement faire l’upgrade de votre site car Prestashop a sorti un patch hier.
Vous trouverez ici la version 1.7.8.7 : https://www.prestashop.com/en/versions
Conclusion
Cette actualité montre une fois de plus qu’il est primordial de maintenir son site et les modules associés à jour. La protection vient de la fréquence de maintenance de votre site.
L’agence digitale Kookiapps fait une sauvegarde tous les jours. Tous les lundis nous faisons les mises à jour des modules si nécessaire.
Petit conseil au passage, lorsque vous choisissez un module pour Prestashop il faut prendre en compte :
- Le nombre d’installations déjà faites par d’autres utilisateurs
- La date de la dernière mise à jour du module
Si un module n’est pas mis à jour régulièrement par le développeur, vous allez aller rapidement vers les ennuis.
J’espère que cet article vous aura été utile et que vous avez pu faire le nécessaire pour réparer . Si vous avez besoin d’aide ou de conseils pour la manip ou installer le patch, n’hésitez pas à nous contacter !
Kookiapps une agence Prestashop certifiée