Jump to content

Question Sécurité


Recommended Posts

Bonjour,

 

En préambule, je tiens à préciser que même si j'ai quelques vagues connaissances en matière de sites internet de eCommence, de serveurs, etc,... elle ne sont que .... vagues.

 

Je vais dans les jours qui viennent lancer mon petit site ecommerce (boutique d'épicerie fine, 3 à 4000 produits qui seront ajoutés au fur et à mesure, paiement uniquement paypal puis dès la sécurité assurée contrat VAD Cyberplus BP)

et une chose m'inquiète : la sécurité de la solution prestashop

 

Non pas qu'il y ait des éléments d'une inestimable valeur dessus mais pluôt que je ne souhaites pas passer des dizaines d'heures  à résoudre dans l'urgence un problème qui surviendrait alors que j'aurais pu l'éviter en prenant les précautions nécessaires .

 

Je ne connais pas le niveau de sécurité natif de prestashop mais ce que j'ai lu sur les différents forums laisse à penser qu'il n'est pas absolument parfait.

 

C'est pourquoi je recherche un prestataire pour :

 

-  évaluer la sécurité de mon serveur, de mon site

- mettre en place les protections qui s'imposeraient pour éviter le piratage (boîtes mails, serveur, domaine,données etc)

- assurer le service d'entretien sécurité au fil du temps.

 

Ma Version Prestashop : 1.6.1.10

 

Cordialement.

Link to comment
Share on other sites

Bonjour

 

 

 

sur les différents forums laisse à penser qu'il n'est pas absolument parfait.

 

En informatique RIEN n'est parfait Aucun système quel qu'il soit de qui que ce soit, à partir du moment qu'un système est considéré comme parfait des passionné ou des hackers vont tout faire pour démontrer le contraire.

 

Il y a des virus qui ont été bloquer il y a 15 / 20 ans, comme plus personne n'utilise ces virus vu que tous croient qu'il ne peut plus exister, on se dit bon avec ce virus plus de problème, ce n'est pas la peine qu'on le met dans la liste des virus du dernier antivirus et là c'est une erreur.

 

Votre poste informatique que vous avez au bureau et à la maison lui aussi doit être sécurisé, les milliers d'e-mail que vous recevez et que parfois vous ouvrez par curiosité, il faut aussi le sécurisé.

 

80% des erreurs sont d'origine humaine, les systèmes eux même ne font pas d'erreur, mais ils exécutent ce que l'homme leur a dit et l'homme est loin d'être parfait, même s'ils sont 50 autour de la table.

 

L'hébergement ou vous êtes lui aussi doit être sécurisé, si c'est un hébergement mutualisé le serveur devra avoir un maximum de sécurité, ce n'est pas tous les héberger qui ont leur poste sécurisé.

 

L'ingénieur qui emmène son boulot à la maison parce que son chef lui met la pression et par surménage il oublie le portable dans le bistrot du coin où il a bu un café

 

Les problèmes de sécurité peuvent être énorme et à ce jour les problèmes qu'il y a eu et ils sont rare, provenait soit d'un module WP, soit d'un être humain qui pour se venger et comme il sait comment ça fonctionne a réussi à pirater.

 

Ou un autre module qui est vérolé parce que auguste à une femme qui ne peut pas s'empêcher de visiter tous les sites du monde, de télécharger un tas de truc inutile

hélas parmi ces choses un seul était infecté et c'est ce seul fichier qui s'est transmis de poste à poste et à bloquer tout un service

 

Attention c'est de la fiction mais ça peut être réel.

 

Ne craignez rien sur la sécurité au niveau prestashop mais plus de ce qui est en-dehors de prestashop.

 

Ne vous bloquez pas sur un truc pour la simple raison que vous avez lu que ....

 

Il y a 15 ans, j'avais reçu en 1 jours 300 e-mail de courrier Interne d'un conseil général du sud de la France, des courriers qui ne sortent jamais du réseau interne.

Il sont arriver sur une boite e-mail que j'utilisais rarement, mais que j'avais sur un site où je parlais d'une de mes passions,  et un monsieur ou madame qui a surement apprécier mon site a surement enregistré mon e-mail dans  son carnet d'adresse au travail !! Mon adresse n'avait aucune raison de se retrouver sur un ordinateur d'un conseil général.

 

Une autre fois où je dialoguais régulièrement sur IRC, j'avais eu une alerte de virus, connaissant l'IP et les FAI des personnes qui dialoguaient sur le salon iRC et en regardant la source du mail, j'ai pi déterminer que un des participants à son pc vérolé et il s'est avéré que le frère d'une dame qui dialoguait sur ce forum avait un virus sur son poste.

 

Et si moi je n'aurais pas eu l'alerte il n'aurait pas su.

 

La sécurité ce n'est pas que UN endroit mais cela concerne tous le monde et ceci c'est un des problèmes dans les entreprises où les employés ne peuvent pas s'empêcher de lire leur courrier perso pendant leur travail.

 

Dans cette histoire de virus d'un cousin d'une participante, c'est pas moi qui avait un problème de sécurité au contraire j'avais la sécurité.

Link to comment
Share on other sites

Vous pouvez toujours faire appel à un prestataire mais celui-ci aura effectivement du mal à vous assurer une sécurité absolue...

 

Un point important est aussi de bien faire des sauvegardes régulières de toutes les données importantes, comme ça en cas d'attaque vous pouvez revenir à une version précédente (où une éventuelle faille devra être corrigée évidement).

 

Je n'ai jamais vu de prestashop se faire pirater directement, mais un de mes clients a eu un piratage car un autre programme un peut foireux était installé dans un répertoire voisin... Il avait fait une sauvegarde, sa boutique est restée en maintenance quelques heures, rien de très très grave (dans ce cas heureusement le pirate était juste un spammeur, donc les données client n'ont pas fuité). Pour d'autres CMS, les piratages venaient souvent de modules un peu foireux.

 

Il faut aussi que les pirates aient un intérêt à vous pirater, j'imagine que vous n'êtes pas gérant d'une multinationale donc dans votre cas les pirates seront des gens souhaitant utiliser votre serveur pour autre chose (spam, attaques sur d'autres gens à partir de nombreuses machines esclave), ou bien juste pour faire les malins. Ce genre de pirate ne s'attaquent qu'aux failles faciles, ils ne passent pas des jours à tester toutes les fonctionnalités d'un site.

 

 

Donc si vous avez un prestashop propre, avec un thème grand public, et des modules fiables, et que vous l'hébergez sur un hébergement qui lui est propre, vous devriez avoir une sécurité suffisante.

 

Si vous avez un doute sur un de ces points (modules ou thèmes faits sur mesure par un prestataire en qui vous n'avez plus confiance, hebergement avec d'autres solutions...), un rapide coup d'oeil par un pro ne ferait peut-être pas de mal

Edited by v1c3nt (see edit history)
Link to comment
Share on other sites

Bonjour,

 

C'est déjà un point positif de faire attention à la sécurité.

 

Je ne dirais pas par contre "Ne craignez rien sur la sécurité au niveau prestashop mais plus de ce qui est en-dehors de prestashop."

Des failles existent comme sur les autres CMS, et même dans des modules vendus sur addons par Prestashop lui même.

 

Ceci dit les tests à passer pour poster un module sur la place de marché sont de plus en plus avancés (en plus du contrôle humain) et évite de vendre des modules nids de failles de sécurité.

 

Une des meilleures solutions en plus d'avoir bien sur une sauvegarde à jour au cas où il y a un soucis :

- Le monitoring, la surveillance régulière du site et de l'hébergement

Ce qui peut être un peu délicat sans être développeur ou avoir de bonnes bases en administration système.

 

Être victime d'un piratage et le découvrir rapidement c'est quand même moins gênant que de le savoir un an après, que toutes les données sont compromises et qu'un bon nombre de mauvaises actions sont effectuées.

Edited by _tech (see edit history)
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...