Piratage de site e-commerce 2/5 : les conseils de l’agence web 202 ecommerce

Cet article est le 2ème des 5 interviews consacrées au piratage des sites e-commerce.

Clotaire RENAUD est directeur technique de l’agence technique 202 ecommerce, partenaire platinum PrestaShop. Membre de la cellule sécurité de Friends Of Presta, il revient pour Jloo sur les tentatives de piratages constatées depuis l’année dernière sur les clients de son agence web.

Quelle est la tendance sur le piratage des sites e-commerce ?

En 12 ans d’existence, l’agence 202 ecommerce n’avait jamais connu de piratage d’un de ses clients sous PrestaShop avant juillet 2022. Cet événement nous a convaincu de faire auditer l’ensemble des eShops de nos clients à la recherche de vulnérabilités qui pourraient être exploitées par des pirates. Nous avons alors découvert que la majorité de nos clients disposaient de vulnérabilités de sévérité critique, toutes présentes dans des modules achetés via les marketplace de confiance. Il nous aura fallu quelques jours pour sécuriser tous ces clients.
Pour revenir au prévisionnel, notre indicateur est nos outils de monitoring de sécurité que nous avons mis en place suite à cet épisode : nous enregistrons une augmentation constante, par vagues successives, des recherches de failles par des réseaux malveillants.

Cette constatation, corroborée avec d’autres professionnels du secteur e-commerce impliqués dans la cybersécurité, nous permet d’affirmer que les attaques vont encore s’intensifier dans les mois à venir, avec vraisemblablement un pic à l’été 2023, cette période étant privilégiée par les assaillants, compte tenu du ralentissement professionnel lié aux congés. Pour autant, il est difficile de fournir des extrapolations précises.

Y a t-il des CMS plus visés que d’autres ?

Aucun CMS n’échappe aux piratages. WordPress est historiquement très exposé compte tenu du parc immense de sites sous cette technologie. Magento subit des vagues d’attaques et de harcèlement de son écosystème depuis 2019, dont les caractéristiques sont similaires à ce qu’on observe depuis 2022 sur PrestaShop. Quant aux solutions SAAS, elles ne sont pas en reste non plus, un contact travaillant chez un des leader me disait récemment qu’ils subissent des attaques “d’envergure inconnues jusqu’alors”

Quelles sont les techniques de piratage les plus répandues contre un site e-commerce ?

L’objectif principal, car le plus lucratif, d’un pirate est de copier les numéros de carte bleue utilisés par les clients pour payer sur le site. Pour cela, le pirate dépose dans le site un dispositif qui, généralement, ne perturbe pas les paiements.
Les dispositifs évolués font en sorte que les numéros de carte soient saisies sur l’eShop ou même sur la page de paiement de la solution de paiement. Ils peuvent inclure un système pour se rendre invisible des administrateurs de la boutique.

Le deuxième type de piratage le plus répandu est le vol de données personnelles des clients. Ce type de piratage est quasiment indétectable pour les marchands donc cela peut durer très longtemps.

Sur WordPress (où la dimension e-commerce n’est pas la plus répandue) le détournement de site à des fins SEO est une pratique courante. Il s’agit pour les hackers de présenter un tout autre contenu aux moteurs de recherche.

Quelles sont les principales failles de sécurité constatées ?

Techniquement la vulnérabilité la plus répandue est l’injection SQL. Le défaut de protection d’une variable permet au pirate d’injecter un nouvel administrateur par exemple ou exporter le contenu de la base de données.

En second lieu, les path traversal est la mauvaise protection d’un chemin de fichiers. Par exemple, un script permettant d’afficher un PDF est détourné pour lire un fichier contenant le mot de passe de la base de données.

En troisième lieu, les faiblesses logiques au sens large sont un défaut de conception par design permettant de détourner un comportement par insuffisance de protection comme par exemple voler une session utilisateur, valider un panier sans payer…

Enfin, les failles XSS permettent, en injectant dans un formulaire en front office un JavaScript malicieux, de faire exécuter du code par un administrateur. Par exemple, le pirate injecte dans un formulaire d’avis produit un JavaScript. Quand un administrateur affichera la page de modération de cet avis en backoffice, ce JavaScript déclenchera la création d’un nouvel administrateur à son insu.

Comment réduire le risque de piratage sur Prestashop ? Quelles sont les précautions à prendre ?

Les injections SQL les plus malicieuses sont atténuées à 95% par une évolution de PrestaShop 1.7.8.8. Suivre les mises à jour des logiciels est essentiel, le cœur du CMS et ses modules tous les 6 mois minimum.
Organiser une veille sur les vulnérabilités rendues publiques sur Friends Of Presta (et le module gratuit PrestaScan Security) pour PrestaShop, ou le module Wordfence sur WordPress. Si c’est trop technique, il est incontournable de se faire accompagner par un professionnel spécialisé pour son CMS.

Enfin le recours à un hébergeur spécialisé, appelé aussi infogérant, pour son CMS est indispensable. Les hébergements généralistes, même haut de gamme, n’offrent pas une protection contre le piratage du CMS, ils se limitent à protéger le système global. Les hébergeurs spécialisés apportent, en plus de la protection du système, une protection plus ou moins étendue des attaques au niveau du CMS.

Comment peut-on savoir si son site est vulnérable ou non ?

L’arrêt consécutif à un piratage peut aller de quelques jours à plusieurs mois. Dans certains cas, le PSP peut exiger une certification SAQ-A (PCI DSS en auto certification). Au-delà de l’impact sur l’image et le SEO du marchand, les pertes d’exploitation peuvent être importantes, surtout pour les pure players.
Le seul moyen d’être fixé sur la sécurité de son site est de faire un audit régulièrement et/ou travailler avec un professionnel sensibilisé aux sujets de sécurité.

Comment découvre t-on que son site a été piraté ? Qui s’en rend compte en 1er généralement ?

En général, il y a des signaux faibles que les marchands doivent savoir écouter. Ce peut être un client qui se plaint d’un comportement anormal, le site est inhabituellement instable, les rapprochements bancaires ne « collent » pas avec les commandes…
Un File Integrity Manager est une solution efficace. Si une modification de fichiers de code suspecte est détectée, une relecture automatique voire humaine vérifie qu’une intrusion malicieuse n’a pas eu lieu. Ce type de surveillance est généralement effectué par l’agence en charge du site, mais certains hébergeurs spécialisés disposent de systèmes équivalents plus ou moins automatisés.

Dans tous les cas, la vigilance, le suivi des tableaux de bord de performance du site est essentiel pour détecter la moindre anomalie et éviter que la situation de piratage ne dure à l’insu du marchand.

Comment réagir lorsque l’on découvre que son site a été piraté ?

Ma première recommandation est de figer la « scène du crime » en fermant 100% du site (front office et backoffice). Si les hackers se rendent compte qu’ils sont démasqués, ils vont tenter d’effacer leur trace. Or pour savoir par où ils sont rentrés, quelles informations ils ont volé (ont-ils eu accès au backoffice ?), depuis quand, … Il est important de mener une enquête appelée « étude FORENSIC ». Elle permet de comprendre ce qui s’est passé pour mieux se protéger à l’avenir. Une fois que votre boutique a été piratée, elle sera sur toutes les listes de recherche automatique de failles de sécurité des pirates. Sans un vrai plan d’action, votre eshop sera à nouveau victime.
Ensuite il faut procéder au nettoyage (ou remonter tout de zéro ou presque) et surtout changer tous ses mots de passe et autres clés d’APi. Ce point est crucial compte tenu du risque de récidive !
Prévenir ses clients victimes du vol de données (voir les inviter à faire opposition à leur CB s’ils sont concernés) et adresser une déclaration d’incident à la CNIL est une disposition légale.
De plus, d’éventuels audits pourront être imposés par la banque / PSP du marchand.

Si tu as un seul conseil à donner ?

Stressez vos procédures liées à la sécurité informatique de votre activité. Les attaques viennent toujours de là où on ne les attend pas. Ne négligez pas le facteur humain ! Attention à toujours donner des accès temporaires aux différents prestataires et supports qui interviennent sur votre boutique.

Intégrer l’aspect sécurité à votre quotidien en questionnant votre mode de fonctionnement, et celui de vos équipes. Qui a accès au Back Office ? Qui est chargé de faire les mises à jour ? A quelle fréquence ? Posez des questions à votre agence pour estimer leur sensibilité au sujet.

Pour les sites marchands avec des enjeux, assurez-vous de disposer d’un PRA/PCA (même basique), d’une agence sensibilisée aux problématiques de cybersécurité et un infogéreur spécialisé sur votre CMS, et sensibilisée aux problématiques de cybersécurité.

Lire l’article suivant : Piratage de sites e-commerce  : l’analyse de l’infogérant Touchweb