Problème de sécurité Prestashop Cloud

[Alain Carion]

Bonjour,

 

Je viens de créer ma boutique en cloud sur Prestashop.

Je lui ai ensuite rattaché un nom de domaine directement via Prestashop.

Malheureusement, j'ai une faille de sécurité (je ne suis plus en https), je ne comprends pas pourquoi puisque je n'ai fait que rajouter un nom de domaine et, qui plus est, je n'ai fait appel à rien d'autre que Prestashop.

Quelqu'un a-t-il une solution à mon problème ?

 

 

Merci d'avance !

Edited January 28, 2015 by Alain Carion (see edit history)

[Eolia]

Bonjour,

 

Est ce que le nom de domaine ajouté a un certificat ssl correspondant ?

Https: Chaque nom de domaine utilisant ce protocole doit être certifié auprès de l'autorité qui délivre ces certificats.

 

prestashop.com est certifié mais apparemment pas votre nouveau nom de domaine. Vous devez acheter le certificat correspondant à votre nom de domaine et le faire installer sur votre serveur.

 

Ce certificat prouve que le nom de domaine utilisé dans l'url est bien celui correspondant au site. Dans votre cas, actuellement, ce n'est pas vrai.

[Alain Carion]

Bonjour,

Merci pour votre réponse.

Ce que je ne comprends pas, c'est que je suis passé par Prestashop justement pour simplifier les choses puisque dixit la phrase qu'il y avait quand j'ai acheté le domaine via Prestashop "on s'occupe de tout, vous n'avez rien à configurer". 

Du coup, je suis un peu interloqué par votre réponse.

J'ai payé 20 € le nom de domaine via Prestashop et j'ai du mal à comprendre que je doive encore payé en plus pour sécuriser ma boutique et juste pouvoir accéder à l'espace de gestion.

C'est une arnaque pour faire dépenser plus ?

J'ai procédé à la création de la boutique, acheté le nom de domaine que je souhaitais y rattaché et ensuite, comme ils l'indiquaient, je suis rentré dans "Détails de la boutique" pour faire de ce nouveau nom de domaine mon nom de domaine principal.

Et depuis j'ai ce problème de sécurisation.

Je ne suis pas contre l'idée d'acheter un truc en plus (bien que je trouve ça un peu fort de ne pas prévenir avant) mais je suis perdu : je ne sais même pas comment et où est hébergé le site. Je pensais que du fait du partenariat avec Ovh cette commande se retrouverait dans mon compte Ovh mais non.

Je suis complètement perdu.

Et le pire c'est que je viens à peine de démarrer... Ah ha.

Edited January 28, 2015 by Alain Carion (see edit history)

[Eolia]

Essayer de désactiver le ssl dans votre backoffice Préférences -> Paramètres généraux, 1er choix

 

Vous ne vous êtes pas fait arnaquer, mais votre boutique initiale est en https avec le certificat associé.

 

Si vous décidez de changer de nom de domaine, vous changez les règles et vous perdez cette sécurité.

 

En prenant un nom de domaine non sécurisé, vous devez désactiver cette option.

[Alain Carion]

Merci pour votre réponse, ça m'éclaire déjà un peu plus...

 

Voici la réponse que m'a faite le service support 

Ce n'est pas un bug, ni une faille de sécurité, il faut ce connecter en http et non https lorsque vous utilisez votre propre nom de domaine.

 

Ca veut donc dire que je ne peux pas travailler en sécurisé à partir du moment où j'achète un nom de domaine chez Prestashop ?
N'est-ce pas un peu dangereux pour moi et mes clients ?

Edited January 28, 2015 by Alain Carion (see edit history)

[Eolia]

Je ne sais pas vraiment comment fonctionne le service interne du cloud, mais si vous achetez un certificat auprès d'un service agréé, votre hébergeur devrait pouvoir vous l'installer.

Après, l'utilité du ssl pour une petite boutique n'est pas vraiment justifié car il n'y a pas de données  confidentielles et les paiement peuvent se faire directement sur le site du prestataire bancaire qui, lui, est sécurisé.

 

Enfin, tout ça montre un problème d'information pour les nouveaux venus.

[arnolp]

Bonsoir, 

l'hebergement de Prestashop Cloud etant géré par PrestaShop, seul PrestaShop peut installer un certificat.

(en pratique, ce sont des serveurs ovh virtualisés, mais qui sont inaccessibles en ssh pour le client).

 

La réponse du support est claire : Prestashop Cloud ne supporte pas pour l'instant le https sur des domaines personnalisés.

 

C'est pour moi redhibitoire du point de vue de la sécurité.

Par exemple, en cas d'attaque du type 'man in the middle' (facile sur un wifi mal protégée), les identifiants de votre boutique seront transmis en clair au pirate, lui permettant de prendre la main sur votre site.

 

Autre exemple : l'administrateur mal intentionné d'un hotel , d'un wifi public ou d'un cybercafé pourrait remplacer votre boutique par la sienne, et capter ainsi les cartes bleues et mots de passe de vos clients passant par ce réseau.

 

Si il en etait encore besoin : https://www.jeveuxhttps.fr/Pourquoi_passer_%C3%A0_HTTPS

ou en anglais : http://mashable.com/2011/05/31/https-web-security/

 

Le community manager prestashop  me confirme que ce problème de sécurité sera résolue "very soon".

En attendant, je déconseille d'utiliser en production Prestashop Cloud pour du ecommerce avec un domaine personnalisé.

 

(Par contre : aucun probleme pour installer prestashop sur votre propre hebergeur tel ovh, avec l'installation d'un certificat SSL pour supporter l'https, la solution prestashop etant par ailleurs très sécurisée)

 

Eolia>"Après, l'utilité du ssl pour une petite boutique n'est pas vraiment justifié car il n'y a pas de données  confidentielles."

 

Je ne partage pas cette prise de position, que je trouve irresponsable du point de vue sécurité informatique. L'email , n° de telephone, et mot de passe de vos clients sont des données confidentielles qu'il faut proteger. Par exemple, les internautes ayant pour mauvaise habitude de réutiliser les mêmes mots de passe pour tous leurs acces, y compris leur boite mail. 

La transmission en clair de l'email et du mot de passe du client permet facilement ce genre de piratage.

 

La seule vraie différence ,sur une petite boutique, est simplement qu'il y a moins de clients à pirater, donc que la probabilité de piratage des clients est plus faible.

Mais comme le rappelle Prestashop sur son blog dans un autre contexte:

Never : Dans le domaine de la sécurité, il ne faut pas viser plus bas que la perfection. 

 

Sur les CB : Oui le paiement des clients est sécurisé par le module de paiement choisi, qui est lui en https.

Mais l'acces au backoffice etant non https, un malentionné peut facilement (cf exemples ci dessus) récuperer vos identifiants de connection si vous vous connectez au BO depuis un acces internet peu fiable, prendre le controle de votre boutique, télécharger votre base client,  et changer la connection de votre module bancaire par le sien, captant ainsi les paiements de vos clients. 

C'est un probleme de sécurité critique.

 

Pour être exhaustif : 

ce dernier point est immediat à résoudre : il suffit de ne jamais utiliser http://maboutique.com/backoffice, mais d'utiliser le domaine temporaire qui fonctionne toujours : https://pfrmyshopid.pswebshop.com/backoffice/

Prestashop devrait rediriger automatiquement vers cette 2e url lorsqu'on tente d'acceder à la 1ere.

 

- Arnaud

Edited February 4, 2015 by arnolp (see edit history)

[maracuya]

"En attendant, je déconseille d'utiliser en production Prestashop Cloud pour du ecommerce avec un domaine personnalisé."

Donc si je comprends bien Prestashop Cloud n'est pas utilisable avec un domaine personnalisé?

Du coup c'est un problème majeur car toute boutique sérieuse utilise un domaine personnalisé.

Merci de nous informer quand cela fonctionneras correctement.

[arnolp]

Sous réserve de toujours utiliser l'astuce que je décris pour acceder au BO, 

seule la sécurité des clients individuellement est potentiellement compromise , pas celle de la boutique.

Le risque est du coup proportionnel au nombre de clients

A chacun de fixer son niveau d'exigence en terme de sécurité.

 

+ impact négatif sur la réassurance et donc le taux de transfo. Personellement, je ne passe jamais commande sur un site dont le formulaire de creation de compte n'est pas sécurisé, ca laisse penser souvent à juste titre que le site n'est pas rigoureux sur cet aspect.

[maracuya]

Là il ne s'agit pas d'un problème de sécurité mais d'une erreur de Prestashop.

Avec un nom de domaine personnalisé si un client veut commander ou acheter ou de se connecter il se retrouve avec un méchant message d'erreur qui lui dit "Cette connexion n'est pas certifiée".

Donc client qui s'en va immédiatement sans compter que google apprécie ce genre d'erreur.

[maracuya]

C'est pas faux, mais j'ai cru un instant que ça pouvait le faire.

[Eolia]

Bon, soyons honnêtes.

 

vous pouvez tout à fait utiliser le cloud avec un nom de domaine personnalisé, mais vous perdrez la certification ssl (ce qui n'est pas une catastrophe non plus)

Vous devez, pour ne pas avoir d'erreurs qui s'affichent, désactiver le ssl dans les paramètres de votre boutique.

 

Après, c'est sûr que le cloud c'est fait pour se "faire la main", mais cela reste un mutualisé avec beaucoup de limitations, donc une boutique qui prend de l'ampleur ne pourra pas y rester bien longtemps.

 

Donc le cloud c'est limité, mais c'est gratuit aussi^^

N'exigez pas d'avoir le top du top sans rien payer, on est pas chez les bisounours non plus

[maracuya]

Gmail est gratuit est on n'accepterait pas que ça n'envoi pas des mails.

Donc si Prestashop se lance dans le cloud il faut au moins faire un truc qui marche. Même pour se faire la main vous avez besoin d'un truc qui marche.

[Eolia]

Gmail est gratuit est on n'accepterait pas que ça n'envoi pas des mails.

Donc si Prestashop se lance dans le cloud il faut au moins faire un truc qui marche. Même pour se faire la main vous avez besoin d'un truc qui marche.

 

Ce "truc" comme vous dites marche.

Soit vous l'utilisez tel quel avec un nom en prestashop.com et en ssl, soit avec un ndd sans ssl, mais cela ne change en rien le fonctionnement de votre boutique.

 

Après si vous voulez parler des bugs, ce sont les mêmes sur la version cloud ou la version en dl

 

PS: Gmail est gratuit mais impose ses règles aussi ^^ Essayez d'envoyer un mail avec un include css et on en reparle

[maracuya]

Regardez:

Mon domaine n'a pas de SSL.

Il est désactivé dans la config de la boutique et si vous voulez vous connecter en tant que user vous avez un beau message

https://mediasveladas.com/fr/my-account

 

Le HTTPS est forcé par prestashop.

[Eolia]

Vous avez du louper un truc...

 

En plus vous me donnez une adresse en https...

 

Vides vos caches/cookies et essayez plutôt: http://mediasveladas.com/fr/

 

http://testy.pswebshop.com/fr/  <- ssl désactivé partout

[maracuya]

Merci de votre aide:

Si vous allez là:

http://mediasveladas.com/fr/

Cliquez sur connexion ou Panier et vous aurez une redirection HTTPS

Pourquoi?

[Eolia]

Avez vous vidé votre cache smarty ? les urls sont écrites en dur dans le cache

 

Donc BO -> Paramètres Avancés ->Performances , en haut à droite "Vider le cache"

[maracuya]

Oui je l'ai fait plusieurs fois.