Commentaires : Piratage : une entreprise de cybersécurité identifie 570 sites à risque, dont 85% basés sur Magento

Un piratage mondial de 570 sites Internet réalisé par des injections de code JavaScript a été découvert par Gemini Advisory. Ces attaques visent à 85 % des sites basés sur le CMS Magento. Des centaines de milliers de numéros de carte bancaire ont ainsi été dérobés, et ce depuis plusieurs années.

Affligeant… Sans commentaire !

La plupart du temps, l’aspect sécuritaire d’un site est présenté via les certificats (le fameux cadena dans la barre d’adresse). Les vrais problèmes commencent lors de la non-mise à jour des softs utilisés (Magento, Prestashop) ou des plugins utilisés dans ces softs. La garantie (malgré tout, pas absolue) d’un achat sécurisé vient plus du respect des normes PCI (Payment Card Industry), mais c’est beaucoup moins connu du grand public : https://magento.com/pci-compliance

Les éditeurs ne veulent pas faire de mise à jour automatiques à cause des risques de bug mais c’est au détriment de la sécurité.

Cela ne ce produira pas sur blazstore :slight_smile::slight_smile:

Un conseil qui diminuera les risques : ne pas enregistrer sa CB sur les sites marchands.

1 J'aime

Sert à rien c’est inutile ce que tu dis. Garde ton conseil.
La CB sur les sites marchands n’est pas enregistrée, seul un token aléatoire l’est.
En clair, avec par exemple, Stripe, ou Paypal (les plus connus), le site A dispose d’un token « :TOTO22 », et Stripe sait que le site A + TOTO22 c’est toi. Aucun pirate peut en faire quelque chose…
L’editeur Stripe / Paypal a ta CB. Mais d’ici qu’eux se fassent hacker, c’est une autre histoire, et avec les assurances…

N’y-a-t-il pas moyen de faire des tests d’integration a chaque maj ? Quelque chose de bien robuste qui analyse autant l’aspect que les fonctionnalites ?

Pour Magento, de ce que j’ai pu comprendre en lisant des articles un peu plus explicatifs, le groupe de hackers « Keeper » a bien altérer les sites web à l’entrée de la zone de paiements, lui permettant donc d’intercepter toute la partie transactionnelle.

Technique assez répandue appelée « Web skimming », et pour Magento, il y a l’outil Magecart qui a été spécifiquement conçu pour cibler Magento, et collecter les données.

Ceci dit, la très grande majorité des sites Magento touchées seraient a priori de petits à moyens sites web, ou encore sous la Fondation 1. Bref, des compagnies qui n’ont pas les moyens d’entretenir correctement leur site web, ce qui entraîne fatalement des failles de sécurité exposées mais non colmatées.

Les DEV ayant connu la version 1 de Magento savent que c’était loin d’être un bon CMS (tout court). La version 2 offre est de loin bien meilleure. Ceci dit, il n’y a pas de réel intérêt d’opter pour Magento avec un site web de faible ou moyenne envergure.

1 J'aime

Le truc c’est que quand ils hackent ton compte (par exemple Amazon), ils ne pourront pas acheter certains objets à ta place.

C’est un peu bête mais efficace.

Pas de CB dans mon smartphone, cela évite le vol ou l’utilisation non autorisée de ma CB qu’elle soit protégée par tous les dispositifs inventifs qui ne révèlent pas les numéros de ma CB mais n’empêchent pas son utilisation par un tiers.

1 J'aime