Alerte chez PrestaShop : cette faille 0-day permet de voler les informations de paiement des utilisateurs

Alexandre Boero
Chargé de l'actualité de Clubic
26 juillet 2022 à 13h50
6
e-commerce-pixabay.jpg © Pixabay

Le CMS open source PrestaShop est mis en difficulté par une vulnérabilité 0-day exploitée par les hackers, qui volent les données bancaires des clients.

PrestaShop, l'éditeur open source qui permet à chacun de créer sa boutique en ligne, voit des attaquants informatiques exploiter une faille 0-day (zero day), c'est-à-dire une vulnérabilité de sécurité détectée et exploitée avant même que les développeurs ne puissent s'en apercevoir, dans le but de dérober les informations de paiement saisies par les clients qui transitent par le CMS.

PrestaShop en dit plus sur les versions potentiellement vulnérables

Les pirates ont profité de la vulnérabilité pour injecter un code d'écumeur malveillant. Un écumeur est, en cyber, un code injecté dans différentes plateformes commerciales, comme PrestaShop, pour voler des informations, des données de paiement.

« Les attaquants ont trouvé un moyen d'utiliser une vulnérabilité de sécurité pour effectuer l'exécution de code arbitraire sur les serveurs exécutant les sites web PrestaShop », explique l'équipe de l'entreprise aux 300 000 marchands dans un billet de blog.

PrestaShop n'est pas certain, de son côté, que la chaîne de vulnérabilités découverte soit le seul moyen pour les pirates d'effectuer leur attaque. « À notre connaissance, ce problème semble concerner les boutiques basées sur les versions 1.6.0.10 ou supérieures, sujettes à des vulnérabilités d'injection SQL », ajoute l'entreprise. Cela confirme donc que les versions 1.7.8.2 et supérieures ne seraient pas vulnérables, restons au conditionnel tout de même.

La boutique fait face à une vulnérabilité d'injection SQL (Structured Query Language), une attaque répandue qui consiste en une demande envoyée à une base de données pour que le hacker injecte son propre code afin d'en détourner la sécurité, et d'accéder aux données sensibles protégées. Généralement, les sites qui ne mettent pas en oeuvre des mesures de nettoyage des entrées suffisantes sont plus exposés à ce type d'attaque.

Un faux formulaire de paiement, pour récupérer les données bancaires des clients, qui n'y voient que du feu

Dans le cas précis de PrestaShop, les attaquants semblent avoir soumis une requête POST (dont les paramètres ne sont pas visibles par les utilisateurs) au point de terminaison vulnérable à l'injection SQL. La méthode POST est utilisée par exemple pour remplir un formulaire ou télécharger une photo. Elle soumet des données ou fichiers au serveur.

Une petite seconde après, le pirate soumet une requête GET (utilisée pour les paramètres d'un site web, comme le tri, la recherche d'utilisateurs, les filtres), cette fois visible pour l'utilisateur dans le champ d'adresse. Le hacker soumet cette requête à la page d'accueil, sans paramètres. « Cela se traduit par la création d'un fichier PHP nommé blm.php, à la racine du répertoire de la boutique ».

L'attaquant soumet ensuite une autre requête GET au fichier qui vient d'être créé, ce qui lui permet alors d'exécuter ses instructions arbitraires. Et une fois que les pirates ont pris le contrôle d'une boutique PrestaShop, ils n'ont plus qu'à injecter un faux formulaire de paiement sur la page dédiée. Les clients, eux, n'y voient que du feu et entrent alors leurs données bancaires sur le faux formulaire. Les pirates récupèrent ainsi les données.

PrestaShop encourage tous ses clients à vérifier que les boutiques et modules ont bien été mis à jour avec la dernière version (donc une version 1.7.8.2 et supérieure).

Source : Blog PrestaShop

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (6)

bennukem
Entre la gestion d’un prestashop (ou autre), les failles, assurance,etc… Normal de voir des Shopify pousser comme des champignons. Assez cher, mais l’esprit tranquille.
LeVendangeurMasque
Rien ne te garantit que Shopify n’ait pas ses propres failles ou d’autres dans les modules tiers. De plus Presta est assez réactif pour ce genre de problèmes.<br /> Et hors son coût Shopify est nettement moins personnalisable que PS. En gros sur 30% des projets que j’ai fait ça aurait été compliqué voir ingérable de passer par Shopify.
Oldtimer
Vive la carte bancaire à usage unique
Blap
Sinon Snipcart ou alternative, c’est du statique et pas a toi de gerer toute la securite. C’est beaucoup d’emmerdes en moins a gerer pour 2% des recettes.
bennukem
Oui. Je parlais de la gestion de ces problèmes.
thibotus01
Longue vie à Wordpress &amp; Woocommerce
Voir tous les messages sur le forum