Les failles de sécurités Prestashop, faut-il s’en inquiéter ?

Dans cet article je vous parle des différentes grosses failles de sécurité qui ont été découverte sur le cms Prestashop. Je vous donne le lien vers les détails exposés par la solution ainsi que les correctifs qu’ils proposent.

Juillet 2022, découverte d’une vulnérabilité des sites Prestashop

Le 22 juillet 2022, le cms annonce qu’une faille de sécurité importante a été découverte. Cela permettrait aux attaquants de prendre le contrôle de votre boutique.

Par ce biais, ils peuvent alors exploiter vos données clients, paiement etc. Ils fonctionnent avec 3 étapes :

1. Le pirate déclenche une requête POST à l’endroit vulnérable à l’injection SQL.
2. De suite après, l’attaquant soumet une requête GET sur votre page d’accueil. Cela permet la création d’un fichier PHP qui s’appel blm.php à la racine de votre serveur.
3. Il peut lancer des requêtes GET au nouveau fichier blm.php, lui permettant d’exécuter des actions.

Vous avez le détail de l’article ici : https://build.prestashop.com/news/major-security-vulnerability-on-prestashop-websites/

Quelles versions du cms concernée par les attaques en 2022 ?

Toutes les boutiques entre la version 1.6.1.0 et 1.7.8.1 possèdent la potentielle faille.

Si votre boutique Prestashop est de version 1.7.8.2 ou plus, vous n’avez pas de correctif à appliquer.

Attention avant de vous lancer dans une mise à jour de votre site, prévoyez de faire cela en amont sur un serveur de développement ou bien faîtes appel à un développeur Prestashop.

Pour savoir si vous avez été attaqués, vous devez consulter les logs de votre site et de chercher cela :

- [14/Jul/2022:16:20:56 +0200] "POST /modules/XXX/XXX.php HTTP/1.1" 200 82772 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14"
 
- [14/Jul/2022:16:20:57 +0200] "GET / HTTP/1.1" 200 63011 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.98 Safari/537.36"
 
- [14/Jul/2022:16:20:58 +0200] "POST /blm.php HTTP/1.1" 200 82696 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0"

Votre agence ou freelance peut vous aider mais aussi votre hébergeur web.

Comment corriger et éviter la création d’un fichier blm.php sur Prestashop ?

Dans sont article, l’équipe nous préconise de supprimer 2 lignes dans le fichier config/smarty.config.inc.php.

Personnellement, étant une méthode temporaire, je préconise de juste les commenter ou bien de faire une sauvegarde de ce fichier avant.

Vous devez donc retirer les lignes 43 à 46 sur PrestaShop 1.7 et 40 à 43 sur PrestaShop 1.6 :

if (Configuration::get('PS_SMARTY_CACHING_TYPE') == 'mysql') {
    include _PS_CLASS_DIR_.'Smarty/SmartyCacheResourceMysql.php';
    $smarty->caching_type = 'mysql';
}

Dans les discussions sur slack, twitter… J’ai vu que certains avait mit en place une règle de redirection dans le fichier htaccess pour le fichier blm.php. C’est pour prévoir son apparition.

Cette partie de l’article sera mit à jour si de nouvelles instructions sont transmises par l’équipe support de Prestashop.

Prestashop 1.7 est-il un cms sécurisé ?

Bien sûr quand on lit les différentes failles de sécurité cela peut faire très peur. Cependant, il faut savoir que tous les CMS, les logiciels etc sont régulièrement mis à jour pour des nouvelles fonctionnalités et pour ajouter des nouvelles choses sur la sécurisation.

Tous les CMS sont régulièrement touchés :
– Cyber-sécurité : 87% des sites sous Magento seraient « à risque »
– Shopify présente une faille de sécurité importante
– WordPress plus exposé aux failles de sécurité?
…

Toutes les solutions peuvent être touchées comme votre système d’exploitation (Windows, Mac OS…). Cela s’applique pour beaucoup de choses mais ce qu’il faut savoir c’est combien de boutique Prestashop est touchées ?

Contrairement à WordPress qui connaît de nombreux piratages (surtout si vous avez un hébergement mutualisé bas de gamme…), Prestashop recense aucune boutique qui a été impacté par ces dernières failles de sécurité.

Si vous êtes utilisateur ou futur utilisateur de ce CMS e-commerce vous ne le voyez pas mais la communauté est très présente et intervient régulièrement auprès de Prestashop pour faire remonter des bugs, failles, amélioration etc. Un peu comme WordPress, cette communauté est très importante en France et dans le monde ce qui permet de faire évoluer ce logiciel open source.

Une faille de sécurité sur les données clients Prestashop en Janvier 2020

Début Janvier une faille de sécurité avec était détectée dans le CMS, ce qui provoqua une panique chez les e-commerçants.

J’en parle dans mon article blog avec le correctif à mettre en place pour corriger le problème.

Mars 2020, la sortie de Prestashop 1.7.6.4 intègre un nouveau correctif d’une faille qui pouvait mettre en danger les données de vos clients.

En 2020, faut-il mettre à jour vers Prestashop 1.7.6.4

La réponse est oui ! Au vu des nombres de corrections apportées, il est important de passer sous cette version mais seulement si c’est possible. Aujourd’hui il est assez simple de passer de 1.7 jusqu’à 1.7.5.X, cependant c’est plus compliqué pour les versions au dessus.

Faites attention à la compatibilité de vos modules, thèmes, contenu graphique. Avant toute mise à jour, réalisé cela sur un serveur de développement et faites des sauvegardes de votre site internet !