Sécurité de votre PrestaShop : comment lutter contre les vulnérabilités des modules ?

Publié le , par Xavier Bonnaud
Sécurité PrestaShop : lutter contre les vulnérabilités des modules

Depuis quelques mois, les signalements de cyberattaques se démultiplient. Dans l’univers du e-commerce, comme ailleurs.

C’est en partant de ce constat issu de notre double compétence d’hébergement (772424.com) et de maintenance PrestaShop (Profileo) que nos équipes ont décidé de sélectionner un groupe test de clients et d’auditer en détail les logs et les codes des modules installés sur leur boutique PrestaShop.
Notre objectif : améliorer nos solutions de sécurisation des sites e-commerce. Pour cela, nous nous sommes inspirés du mode opératoire des cybercriminels afin de rechercher des failles de sécurité encore inconnues à ce jour.

Sur le 1er site audité, plus de 160 modules ont été passés au crible. Le résultat du test ? 12 nouvelles vulnérabilités critiques révélées. En répétant cette même opération pour un autre client, nous retrouvons, de nouveau, des vulnérabilités inconnues.

Bien sûr, chacune de ces vulnérabilités ont été signalées aux éditeurs des modules concernés. Et nos clients impactés ont été immédiatement informés du correctif à appliquer.

Force est de constater que les sites PrestaShop – à l’instar de ceux développés avec d’autres solutions – ne sont aujourd’hui plus à l’abri d’attaques. Ceci en raison du large écosystème de modules et de la variété des méthodes d’attaques, notamment. La connaissance actuelle des modules vulnérables semble incomplète voire sous-estimée. Et c’est cela même qui fait de la sécurité un enjeu majeur pour les e-commerçants – enjeu que l’ensemble des acteurs de l’écosystème numérique n’ont de cesse de souligner.

On fait le point dans cet article sur les risques, les tendances et, surtout, les solutions à mettre en place pour sécuriser votre activité e-commerce.

Sommaire :

Cyberattaques, une menace croissante pour les boutiques en ligne
Hackers vs Sites e-commerce : une course contre la montre
Des gestes simples pour limiter les cyberrisques : conseils d’usage

Cyberattaques, une menace croissante pour les boutiques en ligne

Depuis quelques années, et en particulier depuis la pandémie de COVID-19, le nombre de cyberattaques est en constante progression. Un constat relevé par l’ensemble des acteurs du secteur (citons par exemple la Fevad) et que nous confirmons également à notre niveau. En effet, de plus en plus de marchands se dirigent vers les services Profileo dans le but de corriger des problèmes suite à une infection sur leur site.

Une étude menée par ​​Splunk en 2022 à l’échelle internationale révèle ainsi que 65 % des entreprises sont confrontées à une hausse des cyberattaques. Leur réaction est immédiate puisque 93 % d’entre elles ont décidé d’augmenter leur budget de sécurisation. Cette prise de conscience est positive et essentielle pour faire face aux risques de la cybercriminalité. Surtout que, jusqu’alors, les TPE/PME attendaient souvent d’être victimes d’une cyberattaque pour réaliser à quel point les dégâts pouvaient être catastrophiques sur leur activité…

Du côté de ce qui motive les cybercriminels, la réponse est simple. Il s’agit de l’appât du gain. Plus un écosystème est connu, plus il attire les cybercriminels. Et quoi de mieux qu’une solution largement utilisée comme PrestaShop ? Le volume de données à récupérer, à voler et à exploiter est tel qu’il en devient extrêmement attractif. D’autant que sur la quantité de modules et de systèmes existants, ceux qui ne sont pas toujours maintenus à jour par les marchands font le jeu des hackers en recherche de vulnérabilités à exploiter…

Hackers vs Sites e-commerce : une course contre la montre

Au jeu du chat et de la souris, les cybercriminels tentent toujours d’avoir un temps d’avance.

Les attaques sont souvent opportunistes. Les personnes mal intentionnées n’ont pas nécessairement besoin d’exploiter des attaques sophistiquées (elles n’en ont d’ailleurs pas souvent les compétences). Il suffit ainsi qu’un seul blackhat (ndlr, nom donné aux hackers mal intentionnés, souvent organisés dans des réseaux criminels) découvre et partage – ou même revende, comme parfois dans le darkweb – une vulnérabilité pour que celle-ci soit immédiatement exploitée.

Une fois la vulnérabilité partagée, les cybercriminels s’engagent dans une course contre la montre. Leur objectif : mettre à jour au plus vite leurs outils de détection pour parcourir le Web à la recherche de sites vulnérables. Et ce, avant que les développeurs et éditeurs de modules n’aient le temps de diffuser largement leur solution corrective. Sur les milliers de sites parcourus de manière automatique, il y aura forcément quelques malchanceux n’ayant pas encore eu le temps de corriger la vulnérabilité et qui seront alors victimes de cette attaque.

Les étapes de l’infection sont ensuite globalement toujours les mêmes :

  1. Exploiter la vulnérabilité en injectant des “portes dérobées” (backdoors) pour obtenir le contrôle total de la boutique.
  2. Étendre l’attaque en infectant plusieurs autres fichiers et en multipliant les points d’entrées.

À l’issue de ces étapes, le cybercriminel a accès au site. Sans que le marchand ne soit alerté. Les codes infectés restent souvent cachés et non exploités, ceci afin de rendre l’analyse de l’attaque plus complexe et de ralentir sa détection. Ensuite, ce n’est habituellement qu’après quelques semaines que les pirates entrent en action pour finaliser leurs attaques. Le plus souvent, l’objectif est de détourner les méthodes de paiement. Les numéros de cartes des clients ainsi que leurs noms, prénoms, emails, téléphones…, sont des données précieuses que les pirates peuvent monnayer.

À ce moment-là de l’attaque, le marchand est obligé de suspendre son activité le temps de désinfecter sa boutique. Au-delà des pertes financières et des risques légaux auxquels il s’expose (obligation d’informer les utilisateurs de l’attaque conformément au RGPD) avec un impact certain sur sa réputation, le risque qu’un code malveillant reste caché dans un endroit insoupçonné existe.

Des gestes simples pour limiter les cyberrisques

Si nous n’avions qu’un seul conseil à vous donner : mettez à jour vos modules !

Nous l’avons précisé plus haut, un module obsolète peut être une porte d’entrée idéale pour les hackers. Débarrassez-vous également de ceux que vous n’utilisez plus : une simple désactivation ou désinstallation ne vous protège pas complètement… Faites en sorte qu’il n’y ait plus de traces du module en le supprimant du serveur. 

Précaution essentielle à prendre lors de la mise à jour de vos modules : réalisez des tests en préproduction et effectuez une sauvegarde de votre site au préalable, afin de vous assurer que les mises à jour n’impacteront pas le fonctionnement de votre site ou celui d’autres modules.

La mise à jour de vos modules – aussi importante soit-elle – doit impérativement être complétée par quelques bonnes pratiques. 

Bonne pratique n°1 : choisir un hébergement dédié PrestaShop

Il est crucial de faire appel à un hébergeur spécialisé dans votre solution. En l’occurrence, un hébergeur expert de PrestaShop. En ce sens, l’infogérance, le monitoring, les optimisations systèmes dédiées sont des critères de sélection incontournables pour vous assurer une sécurité optimale. Un article plus complet sur ce sujet est consultable ici : Choisir le meilleur hébergement pour son site e-commerce PrestaShop.

Le saviez-vous ? L’équipe Profileo travaille de façon quotidienne avec le service d’hébergement 772424.com. Cette étroite collaboration permet de gagner en réactivité dans l’alerte et la correction de nouvelles vulnérabilités détectées sur les hébergements. En parallèle, les systèmes de sondes de surveillance de 772424.com permettent d’intervenir de façon proactive, dans une démarche de prévention des risques.

Bonne pratique n°2 : mettre en place un système d’alerte et de vérification des modules

En complément de votre hébergeur, confiez à votre développeur PrestaShop ou votre agence Web la gestion et la maintenance des modules installés sur votre PrestaShop. Rapprochez-vous de votre interlocuteur technique afin de lui demander une vérification des modules présents sur votre boutique et de lister ceux à supprimer.

Par ailleurs, un scan des modules qu’ils soient configurés ou simplement installés sur votre boutique – s’avère être une action essentielle dans le cadre de la recherche de failles potentielles. Une vérification à réaliser régulièrement !

Vous êtes client Profileo ? Nous vous proposons le Pack Sécurité PrestaShop, spécialement conçu pour contrôler l’intégrité des modules et nettoyer les éventuels fichiers infectés. Une fois ce 1er contrôle réalisé, un scan de modules pourra être effectué, une fois par trimestre et/ou ponctuellement, en fonction des découvertes de nouvelles vulnérabilités. Contactez-nous pour en savoir plus.

Bonne pratique n°3 : maintenir votre version de PrestaShop à jour

Une version obsolète vous expose à des failles potentielles connues et corrigées dans une version actualisée. Si vous n’avez pas la possibilité de mettre à jour votre version de PrestaShop de façon fréquente et rapide, il conviendra alors d’appliquer en urgence des correctifs temporaires. L’objectif : mitiger les menaces.

Bonne pratique n°4 : protéger l’accès à votre back-office et sécuriser vos mots de passe

Cette bonne pratique semble évidente mais il nous paraît essentiel d’en parler. La première chose à faire est d’éviter les liens back-office prévisibles, de type nomdusite.com/admin/ ou /backoffice/. Ceci réduira considérablement le risque sur certains types d’attaques. 

Par ailleurs, il est essentiel d’agir avec la plus grande prudence lorsque vous donnez accès à votre back-office à un tiers. Ne communiquez jamais votre propre accès ; créez un accès supplémentaire pour chaque intervenant, idéalement une personne de confiance. Supprimez ensuite les autorisations lorsqu’elles ne sont plus nécessaires. 

Il convient bien entendu de ne jamais utiliser le même mot de passe pour l’ensemble de vos outils et services en ligne. Et d’encourager également vos employés à changer régulièrement leur mot de passe.

Bonne pratique n°5 : privilégier les éditeurs de modules de confiance

Idéalement, choisissez vos modules depuis la plateforme Addons – dédiée aux modules développés par les éditeurs ou agences validées par PrestaShop. Ceci garantit, a minima, d’avoir un module maintenu à jour par son éditeur et activement surveillé par la communauté PrestaShop.

Pensez également à toujours vérifier la réputation du développeur du module. Pour cela, vous disposez d’une échelle d’expertise qui évolue en fonction de l’ancienneté, de la qualité de ses produits et de l’accompagnement fourni aux marchands.

Attention, toutefois : les failles sont de plus en plus recherchées par les pirates. Y compris sur les modules notoires présents sur Addons. Il reste donc capital, quelle que soit la provenance de vos modules, de garder l’oeil ouvert et d’appliquer ces consignes de sécurité :

  • Précaution : choisissez un module qui propose une dernière version pas trop ancienne, ou, à défaut, un nombre de téléchargements important (si le module a une ancienneté de 4 ans sans mise à jour et peu de téléchargement, c’est un signe de potentielle faiblesse) ;
  • Prévention : effectuez régulièrement un passage en revue de vos modules. Faites un premier tri puis supprimez totalement ceux qui ne sont plus utilisés et ceux qui sont obsolètes.
  • Vigilance : mettez en place des systèmes de surveillance pour parvenir au maximum à anticiper la présence d’une vulnérabilité.

Éditeurs et développeurs de modules : quelle responsabilité ?

Nous avions déjà évoqué ce sujet dans un article précédent dédié à la résolution de failles de sécurité sur des modules.

Il faut garder à l’esprit qu’un module n’est pas à l’abri d’une vulnérabilité. Lorsqu’un éditeur (ou développeur) est informé d’une faille présente sur son module, il réagit rapidement pour mettre à disposition une nouvelle version corrigée.

Il n’existe malheureusement à ce jour aucun système d’alerte sur les plateformes d’achats de modules pour vous notifier en cas d’une alerte de sécurité. Pour cette raison, il est important de s’efforcer à maintenir ces modules à jour.

Pour des modules moins connus, moins souvent mis à jour, leur stabilité relève aussi de la responsabilité de l’éditeur. Malheureusement parfois, l’éditeur (ou le développeur) ne donne pas toujours suite. Il convient alors d’éviter de conserver des modules qui peuvent paraître obsolètes et rechercher des alternatives plus récentes.

En complément de ces bonnes pratiques dédiées à votre activité e-commerce, nous vous invitons à consulter le site de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Sa mission est de promouvoir la mise en œuvre des bonnes pratiques sécurité aux entreprises françaises et européennes.

Vous l’aurez compris, la sécurité de votre site est un enjeu essentiel pour garantir la pérennité de votre activité e-commerce.

Vous avez un doute concernant votre boutique ? Vous voulez vous assurer que vos modules sont bien à jour ?
Notre équipe de développeurs PrestaShop audite votre site, réalise les correctifs en cas de faille détectée et effectue les actions préventives essentielles pour lutter contre les futures vulnérabilités. Optez pour le Pack Sécurité PrestaShop ou contactez-nous directement pour obtenir des informations complémentaires.