Sécurité de votre boutique PrestaShop

Ne risquez pas une fermeture de plusieurs jours de votre boutique !

La sécurité informatique : un incontournable du ecommerce

Les solutions Open Source disposent de nombreux avantages : flexibilité, souveraineté, etc… En contrepartie, elles requièrent de la rigueur de la part de l’utilisateur, notamment sur la partie sécurité.

Depuis le printemps 2022, l’ensemble des solutions ecommerce sont la cible d’attaques informatiques particulièrement agressives, orchestrées par des réseaux parfaitement structurés.

PrestaShop ne fait pas exception à cette constatation, et l’alerte est d’autant plus sérieuse que l’écosystème souffre d’un laxisme dans ce domaine : mises à jour non réalisées régulièrement, développements complémentaires non rigoureux, utilisateurs non sensibilisés. etc…

Piratage PrestaShop : une démarche et une finalité bien connue

Tout d’abord, les pirates informatiques s’introduisent dans la boutique PrestaShop au moyen d’une faiblesse, généralement une faille de sécurité d’un module de type injection SQL. Immédiatement, les hackers déposent plusieurs portes dérobées (backdoors) au cas où la faille de sécurité serait corrigée par le marchand.

Ensuite, les hackers mettent en place un dispositif pour exploiter leur cible. Le dispositif le plus ingénieux consiste à modifier le module de paiement pour dupliquer les numéros de carte bancaire des acheteurs, sans perturber les paiements (Web Skimming). Le pirate revend ensuite ces numéros de carte à d’autres malfaiteurs via le darkweb.

202 : un acteur clé de la sécurité pour les boutiques PrestaShop

202 ecommerce travaille spécifiquement sur la sécurité de PrestaShop depuis plusieurs années, notamment car nous nous opérons des eShops PrestaShop de grands comptes et de marques de luxe, acteurs particulièrement sensibles à ce type de menace.

Membre fondateur de FOP Security, 202 ecommerce travaille main dans la main avec des infogéreurs pour détecter, comprendre et répertorier les différents vecteurs d’attaque, qui font ensuite l’objet de publication techniques, destinées à un public de spécialistes : développeurs, infogéreurs, Tech Vendors (voir 202 ecommerce Security Advisories).

Nos prestations sécurité à destination des marchands

1 – Audit de sécurité

Que vous ayez des doutes sur l’intégrité de votre infrastructure, ou que vous souhaitez simplement vous assurer que votre boutique PrestaShop est correctement sécurisée, nous réalisons un audit complet de votre infrastructure.

L’audit inclus :

  • Une revue générale de votre infrastructure pour vérifier les failles / faiblesse liées à la configuration : non divulgation de données techniques, restriction des accès, configuration de l’administration, etc…
  • L’application d’une procédure de sécurisation en 20 points (optimisation centrée sur la sécurité de configurations Apache, mysql, Patch PrestaShop…)
  • La revue des vulnérabilités publiées et 0day coeur de PrestaShop et modules.
  • La relecture du code spécifique à la recherche de failles de sécurité.

Tarif : sur devis en fonction de la complexité de la boutique, à partir de 1 500 €HT

Option : possibilité de monitoring de 50 points hebdomadaire (webscan, file manager integrity, veille sur les vulnérabilités de modules, …)

2 – Nettoyage de boutiques piratées

Vous constatez que votre boutique PrestaShop a été hackée : vous l’avez immédiatement mis en mode maintenance. Avant de pouvoir rouvrir, il est nécessaire de :

  • Fermer la faille de sécurité utilisée par le pirate,
  • Fermer les backdoors qu’il a installé,
  • Supprimer le dispositif de copie de numéro de carte,
  • Renforcer la sécurité générale de la boutique (les pirates reviennent régulièrement sur les boutiques qu’ils ont déjà hacké).

La prestation inclus généralement :

  • Une étude « Forensic » pour déterminer comment le pirate a corrompu la boutique,
  • Un remontage du site « from scratch » et reconfiguration des modules,
  • Un audit avec relecture de tous les modules et codes spécifiques,
  • Un accompagnement administratif (déclaration CNIL),
  • Si nécessaire, un accompagnement au Self-Assessment Questionnaire A (SAQ A en abrégé),
  • Application d’une procédure de sécurisation en 20 points (optimisation centrée sur la sécurité de configurations Apache, mysql, Patch PrestaShop…)

Tarif : sur devis en fonction de votre contexte. 900 €HT par jour.

Exemple d’intervention réalisée : 10 jours de travail, identification du vecteur d’entrée, suppression de 3 backdoors à divers endroits, nettoyage complet et sécurisation de la boutique, réalisation du SAQ-A.

Option : possibilité de monitoring de 50 points hebdomadaire (webscan, file manager integrity, veille sur les vulnérabilités de modules, …)

Notre prestataire nous a indiqué avoir fait le nécessaire, mais notre SAQ-A a été refusé par notre PSP et notre DSI était très inquiète. Nous avons consulté 202 ecommerce qui nous immédiatement convaincu de ses capacités. Après analyse, nous avons constaté que plusieurs failles de sécurité et backdoor étaient encore présentes. Aujourd’hui, la boutique est rouverte depuis plusieurs mois, et 202 nous accompagne toujours sur la partie sécurité

Vincent – Directeur Ecommerce

Besoin d’aide sur la sécurité avec PrestaShop ?