Une faille de sécurité chez Prestashop
Une faille de sécurité chez Prestashop?
Bon, je sais, on va me dire que le titre est un peu alarmiste, alors que mon article ne va pas parler d’une faille de sécurité au sens strictement informatique du terme. Mais j’ai pourtant repéré quelque chose que j’apparente clairement à un problème de sécurité potentiel avec le mode de fonctionnement du «Â support » des modules et des template chez Prestashop.
Laissez-moi vous expliquer…
Une habitude étrange chez les prestataires tiers de Prestashop
Prestashop est un logiciel de e-commerce plutôt bien fait. Pour des initiés aux fonctionnement global du net il est assez simple d’installation et, avec un peu de travail, même des néophytes peuvent l’installer et l’utiliser.
Vous pouvez l’installer dans sa version gratuite et jouir d’une boutique en ligne, certes assez simpliste au niveau du look, mais totalement fonctionnelle.
Si vous souhaitez un look plus travaillé ou des modules plus spécifiques, vous pouvez acheter des templates ou des modules sur addons.prestashop.
Et c’est là que j’ai remarqué un truc étrange…
Le cas des templates qui ne fonctionnent pas
Lors de l’installation d’un template créé et vendu par un prestataire tiers, j’ai eu la surprise qu’après son installation, mon site ne fonctionnait plus. Page blanche sur le backoffice.
Mon premier réflexe est de me dire que j’ai peut-être bidouillé un truc qu’il ne fallait pas, et, s’agissant d’un site de test, je décide de réinstaller un prestashop totalement vierge, puis d’installer le template en question.
Surprise, ça ne fonctionne toujours pas !
Je rentre donc en contact avec le prestataire via le SAV et il m’explique que oui, ce n’est rien du tout, sa version n’est pas encore compatible avec la dernière mise à jour de Prestashop et qu’il peut régler le souci si je lui donne les accès au back office ainsi que les codes de connexion FTP.
S’agissant d’un site de test, je me dis «Â pourquoi pas » et quelques minutes plus tard le problème est résolu.
Je reste sur cette idée que : cool ils sont réactifs, c’est bien.
Mais je suis quand même un peu perturbé car je me rends compte que je n’ai à aucun moment, vu, lu, signé, quoi que ce soit concernant une politique de confidentialité ou de protection des données avec le prestataire tiers…
Je reste sur cette drôle de sensation en me disant que ce n’est pas grave et que ça doit être exceptionnel.
Un nouveau cas avec un module qui ne fonctionne pas.
Quelques semaines plus tard, je dois installer un module de newsletter sur le site d’un client, et re-belotte, le module ne fonctionne pas correctement. Là encore, je passe par le site officiel et le SAV, je me rends compte que pour toute demande d’assistance on demande systématiquement l’URL du backoffice, les identifiants de connexion au backoffice ainsi qu’au FTP.
Je me retrouve un peu embêté car je vais communiquer des informations cruciales et qui concernent un de mes clients. Que sais-je sur qui va les récupérer ? Que va-t-il en faire exactement ?
Je vais donc lire le pdf sur la protection des données chez Prestashop, mais je ne suis pas vraiment convaincu. Le prestataire tiers, va avoir accès à pas mal de données comme : Le CA de mon client, la liste de tous ses acheteurs, avec leurs noms, adresses, mails, et aussi (et surtout) un accès direct au FTP, sur lequel peuvent être placés des fichiers confidentiels, ainsi que les données de connexion à la base e données…Bref, beaucoup d’informations sensibles !
Encore une fois, je me dis «Â on va faire confiance » et je me lance. J’écris au prestataire pour lui signaler le dysfonctionnement et, encore une fois, étrangement, il semble savoir ce que c’est, un simple petit truc à modifier dans un fichier, et tout rentre dans l’ordre…
Je commence à me poser quelques questions…
Une certaine récurrence de ce type de problématique.
Au fil des années, j’ai quand même remarqué que cette problématique est revenue assez régulièrement.
Toujours de la même façon, certains prestataires tiers semblent proposer à la vente des modules ou des templates avec un petit bug, et le résolvent rapidement, toujours après avoir eu accès à toutes vos données de connexion.
A chaque fois, cette même impression que le module ou le template semble volontairement dysfonctionner…
Newsletter, relance panier, logiciel de caisse, templates, à chaque fois cette même impression…
On peut toujours se dire que Prestashop, faisant très très souvent des mises à jour de son logiciel, les constructeurs de modules et autres templates peuvent avoir un certain temps de réaction pour suivre ces mises à jour, mais…
Le dernier cas en date, un module POS
Encore cette semaine, je suis confronté au même type de problème. Pour faire de la vente en direct lors d’un Salon, je dois installer un module POS (point de vente physique) sur le site prestashop d’un de mes clients.
Cela implique quelque chose d’assez abouti et plutôt cher (achat de tiroir-caisse etc) et je m’attends quand même à un logiciel vraiment fonctionnel…
Quelle n’est pas ma surprise de constater qu’à l’impression du ticket de caisse, le symbole € n’est pas reconnu et remplacé par «Â ? ». Le symbole «Â €Â » c’est quand même le minimum indispensable pour un logiciel POS non ? …. C’est un peu énorme comme bug !
Là encore, on contacte le SAV et là encore on nous indique que RIEN n’est possible sans fournir TOUS les identifiants de connexion.
Je commence vraiment à avoir la sensation qu’il s’agit d’un problème volontaire…
D’autant qu’en fouillant sur le forum Prestashop, je me rends compte que cette même problématique avait déjà été soulevée en Février 2021, alors que nous sommes en Novembre 2022.
Comment ? En presque 2 ans, ce problème, pourtant aussi voyant qu’un nez au milieu du visage, n’a pas été solutionné ????
Vraiment, cela me semble étrange et problématique.
Une exposition de données ultra sensibles à je-ne-sais-qui.
Mine de rien, ces prestataires tiers récupèrent des données extrêmement sensibles sur les entreprises avec cette méthode.
Dans mon dernier exemple, l’entreprise en question est une entreprise située en Inde… qui me certifie qu’en Inde mes données seront traitées avec sérieux et immédiatement effacées après l’intervention du SAV ? En cas de litige, allez donc entamer une procédure judiciaire, vous petit e-commerçant de rien du tout, avec une entreprise située à l’autre bout du monde ! Chacun sait que c’est impossible !
Et puis, je le redis, j’ai souvent eu l’impression que ces bugs sont laissés là volontairement pour pouvoir ensuite intervenir. Car, là encore, le bug est présent depuis presque 2 ans et l'affaire est reglée en moins de 5mn...
Allez, soyons bons joueurs, c’est peut-être juste pour qu’ensuite on laisse un commentaire élogieux sur le SAV du concepteur de module car «Â interventions super rapide ». Mais je reste quand même assez sceptique sur tout ça.
Car avec les données de connexion au back Office de Prestashop, des gens peuvent accéder au chiffre d’affaires de l’entreprise, à toutes les données sur ses clients, faire des statistiques sur les ventes, connaitre vos fournisseurs, et toute personne connaissant un tant soi peu le monde ultra concurrentiel des entreprises, sait quel danger il y a à exposer ce genre de données.
Et ne parlons pas de l’accès au serveur FTP. Des dossiers normalement inaccessibles au public deviennent visibles, des fichiers confidentiels placés sur le serveur peuvent être vus et téléchargés, l’accès au fichier de connexion à la base de données peut être lu, et donc copié, et donc donner un libre accès à cette base de données à tout moment par la suite, sans que cela ne laisse la moindre trace !
Et je ne parle même pas de l’hypothèse d’un fichier malveillant placé quelque part, parmi des 10e de milliers de fichiers source, qui sera absolument invisible pour vous mais permettra toutes sortes d’utilisations pour du hacking ou autre…
Non, décidément, cela ne m’inspire pas confiance !
Quelles solutions peut-on mette en Å“uvre.
Du côté BackOffice de Prestashop :
Créer un utilisateur avec des droits d’accès très limités au backoffice. En effet, vous pouvez, avec un peu de temps, créer un profil avec des droits d’accès limités au module en question et rien d’autre. Pensez toutefois à faire des tests avant de donner les accès en vous connectant vous-même avec les identifiants nouvellement créés et vérifiez que vous aves bien accès à toute l’administration de ce module. Mais pour cela vous devrez être administrateur total de votre site, ce qui n'est malheureusement pas toujours le cas.
Du côté FTP :
C’est là que ça se complique ! Si vous savez et pouvez le faire, vous pouvez créer un compte FTP pour un utilisateur spécifique. Donner les identifiants à votre interlocuteur, puis supprimer cet accès après les travaux.
Mais encore faut-il savoir le faire. La plupart des petits e-commerçants ne savent rien de tout cela et vont donner naïvement leurs accès FTP personnels. Ce qui donnera un accès FTP à durée illimitée dans le temps à toute personne qui aura eu vos identifiants de connexion. Créer un utilisateur temporaire permet au moins de fermer l’accès une fois les travaux terminés.
Mais…
Que se passera-t-il vraiment durant le temps d’intervention ? Un utilisateur malveillant peut très facilement avoir accès au fichier PHP de connexion à la base de données, et ainsi, récupérer tout le nécessaire pour visiter votre base de données quand bon lui semblera plus tard.
Forcer l’accès FTP aux dossiers strictement nécessaires.
C’est peut-être la seule solution viable (en plus de l’utilisateur BackOffice limité, bien sûr). Chez votre prestataire d’hébergement, dans la plupart des cas, quand vous créez un nouvel utilisateur FTP, vous pouvez lui assigner un dossier spécifique sur votre serveur.
Si le module ou template en question a déjà été installé, alors limitez l’accès FTP au seul dossier de ce template ou module. Sinon, limitez l’accès au dossier modules ou au dossier themes de votre prestashop.
Les solutions sont-elles accessibles à tout le monde ?
Malheureusement non. Si vous n’avez pas les connaissances nécessaires, les accès techniques chez votre hébergeur (parce que votre site a été installé par un professionnel qui, par mesure de sécurité ne vous a pas fourni ces accès), vous pourrez difficilement mettre en Å“uvre ces solutions.
Bien qu’il ne s’agisse pas de compétences ultra techniques, il faut toutefois avoir un minimum de compétences pour mettre en Å“uvre les solutions pertinentes. Et tout le monde ne les a pas.
J’ai le cas de nombreux clients dont le site prestashop a été créé par une entreprise, et qui n’ont en leur possession que des identifiants de connexion au backoffice et (parfois) les codes de connexion FTP. Mais presque jamais un accès aux paramètres de l’hébergement.
Dans ce cas, avant toute chose, n’hésitez pas à prendre contact avec votre professionnel de confiance pour lui soumettre la problématique.
Mais ne soyez jamais trop pressés de donner vos propres identifiants de connexion à des inconnus. Cela reviendrait à donner les clés de chez vous à toute personne qui vous le demanderait.
Â
Â
Recent Blog Posts
Categories
