Faille critique dans la plateforme e-commerce Magento

Magento est une plateforme e-commerce utilisée par plus de 200’000 sites de vente en ligne dans le monde, dont Ebay. La firme Sucuri informe que plus de la moitié des sites utilisant cette solution e-commerce, seraient vulnérables. Une faille, découverte récemment par la société Checkpoint, spécialisée dans la sécurité, a été qualifiée de critique.

 Impact

La vulnérabilité serait en fait une série de vulnérabilités pouvant permettre à un utilisateur non authentifié d’exécuter du code PHP sur le serveur et ainsi de compromettre entièrement les sites e-commerces basés sur Magento. Le cracker doit cependant outrepasser différents mécanismes de sécurité avant d’obtenir le contrôle de la boutique et de la base de données complète, permettant le vol de données bancaires et un accès administrateur à la plateforme.

Solutions

Un correctif (SUPEE-5344) a été publié le 9 avril 2015 et est disponible sur le site de Magento. Si vous l’avez pas encore appliqué, il vous est très vivement conseillé de le faire dans les plus brefs délais.

La faille étant désormais connue, il est à prévoir que les attaques contre les sites de vente en ligne augmentent de manière significative dans les prochains mois.

Lorsqu’il s’agit de sécurité au niveau de sites e-commerce, plusieurs conseils bien connus sont toujours d’actualité :

  1. Transfert d’argent. Ne jamais procéder soi-même au transfert d’argent sur son site, utilisez plutôt un portail de paiement tiers comme Paypal, Google Wallet ou Stripe. Ainsi, si les données bancaires des clients ne sont pas conservées sur votre site, vous n’en êtes pas responsables et évitez de graves conséquences en cas de piratage.
  2. Prévention et méfiance. Réagissez rapidement en cas de suspicion de pirate. Contactez une société spécialisée dans la sécurité et avertissez vos clients au plus vite, afin qu’ils puissent modifier leurs données personnelles immédiatement. Faites un scan préventif pour détecter les failles éventuelles. N’oubliez pas que le web est en constante évolution, ce n’est pas parce que vous ne vous êtes pas fait hacker votre site internet qu’il ne se passera jamais rien.
  3. Précautions de base. Suivez les pratiques conseillées en termes de sécurité en ligne :
    • Utilisez des mots de passe complexes et uniques sur chacune des différentes composantes du site
    • Évitez d’héberger votre site de vente en ligne sur un espace partagé avec d’autres sites ; une faille exploitée dans l’un des autres sites permettrait potentiellement d’accéder au votre également, même s’il est sécurisé.
    • Utilisez un pare-feu pour les applications web et tenez-le à jour. Les systèmes de détection d’intrusion représentent un bon complément de sécurité pour bloquer les attaques les plus communes.
    • Surveillez les attaques sur votre site, que ce soit au niveau du serveur ou des données utilisateurs.

Sources

http://www.ictjournal.ch/News/2015/04/21/Checkpoint-decouvre-une-faille-dans-le-systeme-de-e-commerce-Magento.aspx

http://news.softpedia.com/news/Magento-Powered-Online-Shops-Susceptible-to-Financial-Data-Theft-478977.shtml

https://blog.sucuri.net/2015/04/critical-magento-shoplift-vulnerability-supee-5344-patch-immediately.html

http://www.v3.co.uk/v3-uk/news/2404920/check-point-warns-of-major-flaw-in-ebays-magento-e-commerce-system

https://blog.sucuri.net/2015/04/impacts-of-a-hack-on-a-magento-ecommerce-website.html

http://blog.checkpoint.com/2015/04/20/analyzing-magento-vulnerability/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.