Encore un souci de sécurité sur prestashop ?

[Manu-41]

Bonjour, mail reçu ce matin 10h17 :

 

Bonjour,

 

Nous avons récemment identifié une menace de sécurité affectant certaines boutiques en ligne de l’écosystème PrestaShop. Un script malveillant (« digital skimmer ») a été détecté et pourrait avoir entraîné le vol des informations de paiement de certains clients.

 

Ce malware fonctionne en remplaçant les boutons de paiement légitimes sur la page de commande par des boutons frauduleux. Lorsqu’un client clique sur l’un de ces faux boutons, il est redirigé vers un formulaire de paiement contrefait destiné à capturer ses informations de paiement.

 

À ce stade, nous vous recommandons vivement de contacter votre agence experte ou le Support PrestaShop dans les plus brefs délais afin d’effectuer une vérification complète de la sécurité de votre boutique et de vous assurer qu’elle n’a pas été compromise.

 

Vous pouvez également consulter cette page pour plus de détails sur la situation.

 

Nos équipes techniques enquêtent activement sur l’origine de cette attaque et mettent en œuvre toutes les mesures nécessaires pour éviter tout nouvel impact.

 

Nous vous remercions pour votre vigilance et votre coopération.

Edited Thursday at 09:48 AM by Manu-41
title (see edit history)

[natachaC]

Bonjour

mais aucune précision sur son origine ..donc ou est la faille ?

 

[FabriceC]

Même mail provenant de info@ emailing.prestashop.com avec des liens vers : https ://preview.prestashop.com/e3t/ .....
c'est de la daube non?

[jvicente1971]

I have just received the same suspicious email:

Hello Www."mysite".com,

 

We have recently identified a security threat affecting some online stores within the PrestaShop ecosystem. A malicious script ("digital skimmer") has been detected and may have led to the theft of customers' payment information.

 

This malware operates by replacing the legitimate payment buttons on the checkout page with fraudulent ones. When a customer clicks on one of these fake buttons, they are redirected to a counterfeit payment form designed to capture their bank card details.

 

At this stage, we strongly recommend that you contact your PrestaShop expert agency or PrestaShop Support as soon as possible to perform a thorough security check of your store and ensure it has not been compromised.

 

You can also check this page for further details on the situation.

 

Our technical teams are actively investigating the origin of this attack and are taking all necessary measures to prevent further impact.

 

We thank you for your vigilance and cooperation.

[Florent]

Bonjour,

Même mail reçu ce matin.
Avez-vous plus d'infos ?

[Manu-41]

Peut-être PrestaShop eux même qui ont un souci

😄

[meditation]

j'ai eu ce mail aussi ce matin😅

[Thomas-88]

Bonjour,

J'ai reçu un email ce matin également.

J'ai trouvé cet article qui permet de vérifier si votre boutique est concernée : https://help-center.prestashop.com/hc/fr/articles/33259937046034-Alerte-de-sécurité-Vérification-recommandée-de-vos-boutiques

[natachaC]

bon pour l'instant j'ai contrôlé les boutiques de mes clients et tout est OK mais sans savoir d’où proviens la faille 

en attente de la suite ... 

[Mediacom87]

Les failles sont toujours les même, celles annoncées depuis des lustre et listé par https://friendsofpresta.org/fr

avec ses équipes de sécurité : https://security.friendsofpresta.org/

[Guillaume_MPS]

8 minutes ago, Mediacom87 said:

Les failles sont toujours les même, celles annoncées depuis des lustre et listé par https://friendsofpresta.org/fr

avec ses équipes de sécurité : https://security.friendsofpresta.org/

Pour les développeurs moins aguerris et moins au fait de toutes les failles de sécurité (que nous essayons de suivre et de corriger) ; pourriez-vous partager avec la communauté lesquelles de toutes ces failles listées dans https://security.friendsofpresta.org/,  pourrait mener d'après vous à cet ajout malveillant d'un script dans le fichier .tpl d'un thème ?
Merci

Edited Thursday at 02:42 PM by Guillaume_MPS (see edit history)

[Mediacom87]

il y a 4 minutes, Guillaume_MPS a dit :

Pour les développeurs moins aguerris et moins au fait de toutes les failles de sécurité (que nous essayons de suivre et de corriger) ; pourriez-vous partager avec la communauté lesquelles de toutes ces failles listées dans https://security.friendsofpresta.org/,  pourrait mener d'après vous à cet ajout malveillant d'un script dans le fichier .tpl d'un thème ?
Merci

Corrigez l’intégralité de cette liste, ce sera déjà une excellente base.

Il ne peut pas y avoir d’approche partielle consistant à corriger certains points et pas d’autres.

Dans tous les cas, il est indispensable de corriger tout ce qui peut impacter le site. Cela implique de suivre attentivement les annonces officielles de PrestaShop, les évolutions du code, les correctifs de sécurité, ainsi que l’ensemble des mises à jour liées à la stabilité et à la performance.

[Bill Dalton]

Je suis stupéfait qu'ils n'aient aucune information sur la façon d'empêcher que cela ne se reproduise. Je n'ai pas trouvé le code, mais si je l'avais trouvé et supprimé, que se serait-il passé ensuite ? Comment l'empêcher à l'avenir ?

[fmoreira86]

4 minutes ago, Bill Dalton said:

Je suis stupéfait qu'ils n'aient aucune information sur la façon d'empêcher que cela ne se reproduise. Je n'ai pas trouvé le code, mais si je l'avais trouvé et supprimé, que se serait-il passé ensuite ? Comment l'empêcher à l'avenir ?

C’est la question à un million de dollars. Toutefois, je soupçonne qu’un ensemble de boutiques a dû être compromis et que ni PrestaShop ni les partenaires qui les assistent ne savent exactement où se situe la vulnérabilité. Mais oui… je suis d’accord avec toi. Corriger deux lignes de code malveillant ne sert à rien si l’on ignore simplement comment ces lignes sont arrivées là.

[Guillaume_MPS]

5 minutes ago, Bill Dalton said:

Je suis stupéfait qu'ils n'aient aucune information sur la façon d'empêcher que cela ne se reproduise. Je n'ai pas trouvé le code, mais si je l'avais trouvé et supprimé, que se serait-il passé ensuite ? Comment l'empêcher à l'avenir ?

Oui c'est étrange. J'ai scanné nos sites sans rien trouver. Visiblement l'équipe de Prestashop devrait en dire plus bientôt...
Même @Mediacom87 n'a pas de piste précise à ce sujet ; à part (re)vérifier une à une les 230 vulnérabilités qu'il indique sur chaque site.

[Prestashop Addict]

il y a 21 minutes, Bill Dalton a dit :

Je suis stupéfait qu'ils n'aient aucune information sur la façon d'empêcher que cela ne se reproduise. Je n'ai pas trouvé le code, mais si je l'avais trouvé et supprimé, que se serait-il passé ensuite ? Comment l'empêcher à l'avenir ?

Comme le hack modifie un fichier template, il faut que ce soit soit une faille d'un module (la majorité des cas), soit une récupération des identifiants/mot de passe FTP/SFTP/SSH, mais ce n'est pas une faille du cœur de Prestashop. Donc pour identifier le coupable, vérifiez déjà vos modules et leurs potentielles failles :

• https://www.cvedetails.com/version-list/8950/15797/1/Prestashop-Prestashop.html
• https://www.cve.org/CVERecord/SearchResults?query=Prestashop
• https://nvd.nist.gov/vuln/search#/nvd/home?keyword=prestashop&resultType=records
• https://security.friendsofpresta.org/

Et malheureusement certains développeurs de modules ne rapportent pas leurs failles 😞 

[Mediacom87]

Oui, ce n’est pas agréable.

Oui, c’est frustrant.

Mais lorsqu’on parle de sécurisation d’un site, cela implique un audit complet : cœur PrestaShop, modules, thème, overrides, permissions serveur, configuration PHP, accès FTP/SSH, etc.

Ce n’est jamais “on supprime deux lignes et tout est réglé”.

C’est un travail global, méthodique, qui prend du temps — et c’est précisément pour cela qu’il a un coût.

La réalité

Les attaques sont :

• permanentes
• automatisées
• quotidiennes

Avant, beaucoup de bots ciblaient WordPress.

Aujourd’hui, PrestaShop est également massivement scanné.

Cela fait des années que l’on insiste sur :

• les mises à jour régulières
• la suppression des modules inutilisés
• la surveillance des logs
• les permissions correctes
• l’usage d’un hébergement sérieux

 

La sécurité n’est pas une action ponctuelle.

C’est un processus continu.

Un site e-commerce n’est pas une simple vitrine : c’est un système exposé en permanence sur Internet.

Et malheureusement, attendre qu’un piratage survienne pour s’en préoccuper coûte toujours plus cher que la prévention.

[BenoitAdam]

Non mais a ce stade, personne est capable de dire au minimum sur quelle version/thême de Prestashop cette faille à lieu ?

Oui ça peut venir d'un module aussi mais déjà si on a la version de Prestashop ça peut aider.

A mon avis concernant la faille elle-même ça peut venir de :

- une mise à jour malveillante d'un thème ou d'un module (qui qui s'est fait hacké son github ?? )
- Un CDN ou autre script Javascript externe qui remplace le HTML du bouton (qui qui s'est fait hacké son serveur ? )

[yama]

ca peut venir de plein de chose : 

- des modules telecharger sur des sites "warez gratuit"

- des modules codes directement avec le fiaq

- des themes incluant un million de modules jamais maj

and more.

Donc ca peut toucher n'importe quelle version de PS.

 

> Je suis stupéfait qu'ils n'aient aucune information sur la façon d'empêcher que cela ne se reproduise.

 

Y'a pas de solutions miracles.

Entre autre, installer des modules/theme de developpeur serieux, ne pas installer n'importe quoi pour economiser 15 balles, mettre a jour regulierement, se tenir informer. 

Si c'est complique, penser a se faire infogerer sa boutique pour une societe serieuse ne serait pas negligeable.

 

Mais par contre, envoyer un message a tout le monde sans aucun contexte, c'est pas la meilleure idee du monde 😐

Edited Thursday at 10:14 PM by yama (see edit history)