La double authentification sur PrestaShop, un rempart contre les cyberattaques

Publié le , par Xavier Bonnaud
Double authentification - 2FA

Et si nous vous parlions de sécurité ? Oui, encore, mais ce sujet est tellement crucial. Sécuriser les données de votre boutique en ligne est essentiel pour protéger votre entreprise et vos clients contre les cyberattaques.
En tant que propriétaire de site, un des premiers points essentiels permettant de protéger vos données est le mécanisme d’accès à votre back-office PrestaShop.
Non seulement le choix de votre mot de passe est important, mais il faut également vous assurer que l’étape d’identification ne soit pas susceptible d’être forcée ou détournée par des personnes mal intentionnées.


La double authentification, également connue sous le nom de 2FA, est un moyen efficace de renforcer la sécurité de votre site e-commerce, en particulier si vous utilisez la solution PrestaShop.
Sommairement, l’authentification 2FA implique que l’utilisateur fournisse un facteur de vérification supplémentaire pour se connecter à un compte ou à un système, dans le but de:

  • Vérifier l’identité réelle de l’utilisateur
  • Réduire les risques d’accès non autorisés
  • Prévenir les violations de données et les cyberattaques

 

Cet article met en évidence l’importance de la double authentification dans le domaine du commerce électronique, la nécessité de choisir un module “2FA” pour sécuriser le back-office PrestaShop, et comment le mettre en œuvre sur votre site pour améliorer la sécurité de votre entreprise.

 

À travers une précédente publication, le support Profileo fait état de la recrudescence des piratages via les comptes back-office. Il est constaté que la mise en place de la double authentification demeure insuffisante parmi les utilisateurs de PrestaShop. Nous espérons que la lecture de cet article vous fournira des arguments convaincants pour prendre des mesures adéquates.

Sommaire :
Focus mot de passe
2FA ? Pourquoi ? J’ai déjà un bon mot de passe !
Comment choisir un module 2FA pour son back-office PrestaShop ?

Focus Mot de passe :

Le choix du mot de passe d’accès à votre back-office est primordial, c’est le premier rempart de sécurité. Il faut toutefois souligner le fait que ce rempart est très souvent mis à mal :
👉 parce que les hackers disposent d’outils permettant de cracker le mot de passe
👉 mais aussi parce que les utilisateurs n’ont pas pleinement conscience de la nécessité de sélectionner un mot de passe fort et unique.

 

Pour une sécurité optimale de vos mots de passe, il est recommandé d’utiliser des combinaisons aléatoires d’au moins 20 caractères comprenant des lettres en majuscules et minuscules, des chiffres et des caractères spéciaux.
Il est également important de maintenir une rigueur sur les droits d’accès aux comptes en gérant minutieusement les accès, notamment en retirant les droits des personnes qui quittent l’entreprise.
Par ailleurs, l’utilisation d’un gestionnaire de mots de passe peut permettre aux entreprises de stocker leurs mots de passe en toute sécurité et de mieux gérer les droits pour chaque utilisateur.
Enfin, il est recommandé de ne pas utiliser le même mot de passe pour différents services.
Les violations de données sont fréquentes et si votre mot de passe est compromis sur un service, il existe de fortes probabilités qu’il soit exploité sur un autre service.

 

Bon à savoir : Have I Been Pwned

Cet outil gratuit répertorie tous les sites qui ont été piratés et dont les listes de données ont été divulguées. Il vous suffit de saisir votre adresse e-mail pour vérifier si elle a été compromise lors d’une fuite de données connue.

En outre, le service Pwned Passwords vous permet de vérifier si un mot de passe spécifique a déjà été repéré lors d’une violation de données.

2FA ? Pourquoi ? J’ai déjà un bon mot de passe !

Selon une enquête menée par Verizon en 2021, environ 81 % des notifications de violations de données à travers le monde seraient dues à des problématiques de mots de passe. En France, la CNIL aurait reçu près de 60 % de notifications liées à des piratages depuis le début de l’année 2021, dont une grande partie aurait pu être évitée si les bonnes pratiques en matière de mots de passe avaient été respectées.

Source : CNIL – Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité

Le site cybermalveillance.gouv.fr prodigue les 10 mesures essentielles pour assurer votre cybersécurité. On retrouve en première position le choix d’un mot de passe solide ET l’activation de la double authentification (ou aussi l’authentification multifacteurs).

L’authentification à 2 facteurs (2FA) est une méthode de sécurité incontournable pour gérer les identités et les accès utilisateurs. En exigeant deux formes d’identification, elle permet de renforcer la protection de vos ressources et données les plus sensibles. Pour les propriétaires de boutiques en ligne, la 2FA est un moyen de protéger leurs informations les plus vulnérables contre les cyberattaques. En somme, elle offre une tranquillité d’esprit supplémentaire pour votre entreprise.

Concrètement, la double authentification consiste à demander à l’utilisateur de fournir un deuxième élément d’identification complémentaire à la combinaison identifiant + mot de passe.
Ce second identifiant prend généralement la forme d’un code à chiffres qui peut être envoyé par SMS*, par email ou généré par une application tierce telle que Google Authenticator, ou encore intégré dans une clé physique qui doit être connectée à l’ordinateur.

*Il a été démontré à plusieurs reprises que la double authentification par SMS ne constitue pas une protection infaillible. Par conséquent, il est fortement recommandé d’opter pour une méthode plus sécurisée.

La 2FA vous offre ainsi une protection supplémentaire en cas de phishing réussi ou de vol d’identifiants (suite à un piratage ou une infection par un virus, par exemple). Les cybercriminels cherchent constamment à obtenir vos identifiants, vos informations de compte bancaire, ou encore les informations de vos comptes sur les plateformes e-commerce. Malgré votre vigilance, il est possible que vous tombiez dans le piège. Dans ce cas, la double authentification joue un rôle crucial en constituant un rempart complémentaire.

Comment choisir un module 2FA pour son back-office PrestaShop ?

Vous l’aurez compris, nous ne pouvons que vivement vous recommander d’utiliser la double authentification pour les accès à vos comptes, et particulièrement à celui de votre back-office.
Il existe un assez grand nombre de modules 2FA pour PrestaShop.
Nous avons réalisé une liste comparative (mais non exhaustive) pour vous aider à sélectionner celui qui vous convient le mieux.

Cette liste est établie par ordre décroissant du nombre de téléchargements sur Addons (le module le plus téléchargé est donc en première position) suite à une recherche sur les mots clés 2FA et double authentification.
Et plus bas, nous vous conseillons sur le choix qui nous semble le plus adapté en fonction de votre cas.

Module Security Pro – All in One
Prix : 69.99 € HT
Compatibilité : V1.6.0.4 – V8.0.4
Nombre de téléchargements : 4 678
Dernière mise à jour : Avril 2023

Un QR code global est généré pour l’ensemble des employés (même code). Le module intègre de nombreuses autres fonctionnalités (pare-feu, blocages, etc.).

✅ Nous avons déjà testé ce module. Il répond bien à la demande et est relativement simple à paramétrer.

➖ Malheureusement nous avions rencontré une erreur lors de l’activation du 2FA, mais nous avions réussi à modifier les codes du module pour le rendre fonctionnel 👍

Module Google Authenticator Two-Factor Back Office Security
Prix : 69.99 € HT
Compatibilité : V1.4.3.0 – V8.0.4
Nombre de téléchargements : 902
Dernière mise à jour : Avril 2023

Un QR code unique est généré par employé. Chaque employé a ensuite la possibilité de générer lui-même le 2FA (ce qui n’est pas le cas pour tous les modules).

✅ Nous avons déjà mis en place ce module. Il a pour avantage de se concentrer uniquement sur la partie 2FA. Il est fonctionnel. Cependant sa configuration peut être un peu déroutante quand on ne connaît pas le fonctionnement de la double authentification.

Module Google Two-factor Authenticator For Back Office
Prix : 83.99 € HT
Compatibilité : V1.6.0.5 – V8.0.4
Nombre de téléchargements : 42
Dernière mise à jour : Mars 2023

Un QR Code est généré individuellement pour chaque employé.

✅ La configuration semble simple.

➖La démo et la description du module ne permettent cependant pas de savoir s’il est possible de vérifier l’état de l’activation du 2FA pour l’ensemble des employés.

❗Notez que nous n’avons jamais installé ou testé ce module.

Module Two-Factor Authentication 2FA – Google, Microsoft Token
Prix : 69.99 € HT
Compatibilité : V1.7.0.0 – V8.0.4
Nombre de téléchargements : 46
Dernière mise à jour : Janvier 2023

Un QR code global est généré pour l’ensemble des employés (même code).

✅ Le module semble également permettre d’activer la double authentification pour les utilisateurs en front-office.

❗Notez que nous n’avons jamais installé ou testé ce module.

Module Sécurité | Pare-feu (WAF) | 2FA | Teneur Protection favorite
Prix : 69.99 € HT
Compatibilité : V1.6.0.4 – V1.7.8.9
Nombre de téléchargements : 22
Dernière mise à jour : Janvier 2022

Un QR Code est généré pour l’ensemble des employés (même code).

✅ Le module intègre d’autres fonctionnalités (pare-feu, protections attaques, etc.).

❗Notez que nous n’avons jamais installé ou testé ce module.

Module Back Office Security and Two-Factor Authentication 2FA
Prix : 83.99 € HT
Compatibilité : V1.7.0.0 – V8.0.4
Nombre de téléchargements : 28
Dernière mise à jour : Février 2023

Un QR Code est généré individuellement pour chaque employé. Le module intègre d’autres fonctionnalités (blacklist anti brute force, blocage pays, logs, etc.).

✅ Nous avons pu tester ce module. Il fonctionne bien et il est simple à mettre en place.

Toutes les données des modules listés sont relayées en date de la publication de cet article (mai 2023)

 

Nos conseils pour choisir votre module :

  1. Il est important tout d’abord de vérifier la compatibilité du module avec la version de votre PrestaShop.
  2. La sélection d’un module proposant de générer un code unique pour chaque employé est une bonne option. Cela évite que le QR code ne soit partagé et échangé en ligne entre les employés, ce qui pourrait compromettre la sécurité du back-office.
  3. Cependant, l’utilisation d’un QR code unique pour tous les employés a l’avantage de pouvoir être activée de manière obligatoire sans attendre que chaque employé active la double authentification.
  4. Il est également recommandé de choisir un module ayant un nombre de téléchargements considérable afin d’éviter les éventuels problèmes techniques. Même si cela ne garantit pas systématiquement la fiabilité du module.

Basés sur ces critères, plusieurs de nos clients ont choisi ce module : Module Google Authenticator Two-Factor Back Office Security (le numéro 2 dans notre liste).
Le dernier module de notre shortlist semble également prometteur.

Dans tous les cas, la sécurité de votre back-office fait partie intégrante de votre stratégie de lutte contre les cyberattaques. Il s’agit d’une des étapes clés que nos experts détaillent parmi les actions à déployer en cas d’attaque avérée ou de suspicion. Nous vous recommandons de lire également notre article dédié à ce sujet : Mon site PrestaShop a été piraté ! Que faire ?

Besoin d’aide dans le choix et la configuration de votre

module de double authentification ?

Contactez-nous !