Prestashop, éditeur d'un logiciel e-commerce open source et gratuit, a prévenu mardi soir les utilisateurs de sa solution qu'une intrusion, susceptible de compromettre la sécurité des boutiques faisant appel à sa solution, avait été constatée sur ses serveurs. Les commerçants sont invités à suivre une procédure de sécurité.
« Le site officiel prestashop.com a été victime d'une infraction électronique entrainant le détournement d'un script de mise à jour d'actualité, visible depuis le back office des boutiques PrestaShop », a indiqué mardi soir par e-mail l'équipe en charge du développement de ce logiciel e-commerce utilisé aujourd'hui par plus de 80 000 boutiques. Les victimes devraient notamment voir apparaître dans les fichiers constitutifs de leur boutique un fichier her.php, placé à la racine du répertoire /modules. L'un des scripts propagé par ce biais servirait notamment à extraire et envoyer vers une adresse tierce les accès administrateurs de la boutique.
L'attaque a été propagée par le biais du script qui gère l'affichage des dernières actualités liées au logiciel sur la page d'accueil de l'administration de ce dernier. D'après Prestashop, les attaquants ont réussi, après intrusion sur son site Web, à modifier le script d'émission de façon à ce que celui-ci n'envoie pas simplement des informations, mais aussi des fichiers malveillants. Les administrateurs de boutique se connectant à l'accueil de leur interface d'administration étaient alors susceptibles de recevoir lesdits fichiers.
Détectée lundi en début de soirée, la faille a été corrigée en moins de 24 heures. Les potentielles victimes sont toutefois invitées à suivre une procédure visant à rétablir l'intégrité de leur boutique, dont le détail est reproduit ci-dessous. De plus amples informations sont disponibles via les forums de Prestashop, où certains s'interrogent sur la pertinence de maintenir des scripts faisant appel à des serveurs externes dans une optique de sécurité.
Prestashop, qui revendique une communauté de plus de 260 000 membres, prépare actuellement la version 1.5 de son logiciel, dont les nouveautés seront présentées lors du salon E-Commerce Paris.
Prestashop : procédure de sécurité
Le site officiel prestashop.com a été victime d'une infraction électronique entrainant le détournement d'un script de mise à jour d'actualité, visible depuis le back office des boutiques PrestaShop.
L'équipe PrestaShop a mis tout en œuvre pour identifier et corriger rapidement le problème, un correctif est dès à présent disponible.
Comment savoir si je suis concerné ?
Seuls les utilisateurs de la version 1.4 /1.4.1/ 1.4.2/1.4.3/1.4.4 sont concernés, mais pas forcément touchés.
Si vous utilisez une de ces versions, vérifiez si:
un fichier "her.php" se trouve à la racine de votre répertoire /modules
des fichiers ".php" autres que "index.php" se trouvent dans les répertoires /upload et /download
le fichier footer.tpl de votre thème ait été modifié
le répertoire tools/smartyv2 a disparu
Si vous êtes dans au moins un de ces cas, votre boutique est affectée, mais vous pouvez très simplement corriger le problème, en suivant la procédure ci-dessous.
Que dois-je faire ?
1.Changez le mot de passe de votre base de données ou contactez votre hébergeur si vous ne savez pas comment procéder. Une fois le changement de mot de passe effectué, ouvrez le fichier settings.inc.php du dossier /config et remplacez votre ancien mot de passe par le nouveau. Voir ci-dessous.
2.Téléchargez ensuite le correctif élaboré par PrestaShop en cliquant ici
3.Placez-le à la racine de votre boutique avec votre client FTP (Filezilla, Transmit...)
4.Rendez-vous à l'adresse http://www.maboutique.com/herfix.php
5.Le correctif est maintenant appliqué, n'oubliez pas de supprimer le fichier herfix.php précédemment chargé à la racine de votre boutique
6.Renommez votre répertoire admin
7.Changez le mot de passe de tous vos administrateurs back office
Alexandre Laurent
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech,...
Alex, responsable des rédactions. Venu au hardware par goût pour les composants qui fument quand on les maltraite, passé depuis par tout ce qu'on peut de près ou de loin ranger dans la case high-tech, que ça concerne le grand public, l'entreprise, l'informatique ou Internet.
Milite pour la réhabilitation de Après que + indicatif à l'écrit comme à l'oral, grand amateur de loutres devant l'éternel, littéraire pour cause de vocation scientifique contrariée, fan de RTS qui le lui rendent bien mal.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
