IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Des pirates se servent d'un faux correctif sur les sites e-commerce Magento


Sujet :

Sécurité

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 874
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 874
    Points : 205 854
    Points
    205 854
    Par défaut Des pirates se servent d'un faux correctif sur les sites e-commerce Magento
    Des attaquants se servent d'un faux correctif sur les sites e-commerce Magento
    pour pirater des boutiques en ligne

    Magento est une plateforme bien connue dans le domaine du commerce électronique libre dans la mesure où la solution propose des fonctionnalités comme les outils de marketing et promotions, la gestion de son site, la gestion des commandes, un service client, la gestion du catalogue de produits (qu'ils soient physiques ou virtuels) et même une version sur mobile.

    En début février 2015, l'équipe derrière la solution a déployé un correctif de sécurité ; SUPEE-5344 venait corriger une faille qui aurait permis à des attaquants de subtiliser les données relatives aux cartes de paiement ainsi qu'aux informations sur les clients.

    « L'anatomie des hacks attribués à la vulnérabilité a permis aux pirates de créer des utilisateurs de type administrateurs dans l'application Magento. Ensuite, ils ont ajouté du JavaScript aux fichiers, leur permettant ainsi de soutirer des informations de paiement directement depuis les formulaires de commandes ou, dans certains cas, ils ont modifié une série de fichiers PHP qui diffusent des informations durant la phase du traitement des paiements. Indépendamment de la technique employée, les résultats étaient les mêmes : les hackers ont volé des informations relatives aux cartes de crédit et les ont siphonnées. Raison pour laquelle SUPEE-5344 est le correctif le plus important qui devrait être appliqué à toutes les versions de Magento publiées avant février 2015 », a averti Denis Sinegubko, Senior Malware Researcher pour le compte de Sucuri.

    Pourtant, selon l'expert en sécurité Sucuri, en avril 2015 plus de la moitié des sites se servant de la solution e-commerce d'eBay étaient encore vulnérables, car n'avaient pas appliqué le correctif de sécurité. « La vulnérabilité que nous avons découverte représente une menace significative non pas pour un seul store, mais pour toutes les marques qui se servent de la plateforme Magento pour leurs vitrines en ligne - qui représente près de 30 % du marché de l'e-commerce », avait prévenu Shahar Tal, Malware and Vulnerability Research Manager pour le compte de Check Point. L'adoption du correctif s'est donc avérée très lente.

    Un an plus tard, nombreux sont les sites qui n'ont pas été mis à jour, pour le plus grand bonheur des pirates qui ont opté pour proposer aux propriétaires de sites de télécharger une mise à jour factice SUPEE-5344. « À cause de la sévérité de la vulnérabilité, de nombreux pirates savent à quel point ce correctif est important et certains ont même essayé de le greffer », a remarqué Sucuri.

    Ce dernier estime que le logiciel malveillant est plus sophistiqué que les injections Magento similaires. Tout d'abord à cause de sa taille (160 lignes de code contre une douzaine de lignes, voire une seule d'un code chiffré pour des campagnes similaires), et ensuite pour des injections chiffrées plus petites dans d'autres fichiers.

    Le correctif factice va ouvrir de nouvelles brèches prêtes à être exploitées par les attaquants. Tout d'abord, il va installer un ensemble de keyloggers qui seront insérés dans les pages de paiement et tous les fichiers PHP qui gèrent les données de paiement. Ces keyloggers vont collecter les informations personnelles des utilisateurs ainsi que leurs informations de paiement. Les données volées seront stockées dans une image au format JPEG. Ces images sont sauvegardées sur le disque et envoyées à intervalle régulier à l'adresse perampokcc @ gmail.com avec pour objet « Logger CC Magento From $store », la variable $store servant à garder une trace du site piratée dont les données proviennent. L'adresse imamlogs @gmail .com est aussi utilisée pour garder une trace des noms d'utilisateur, mots de passe, adresse IP, date, navigateur et nom de serveur. L'objet est « User Login ($country_name) ($server_ip) », et l'entête indiquant l'expéditeur (« De ») est « Logger User Magento From $server_name <$server_ip @$server_name> »

    En plus d'intercepter les requêtes POST contenant des données sensibles, la mise à jour factice peut également :

    • exécuter du code PHP arbitraire sur le serveur : shell_exec($_REQUEST[‘jpg’]) ;
    • changer la permission de tous les fichiers Magento (le paramètre par défaut est 777) ;
    • effacer le fichier media/shop.jpg lorsqu'il n'est plus utile (fichier dans lequel sont sauvegardées les données des requêtes POST interceptées).


    Source : Checkpoint, blog Sucuri, blog Sucuri (avril 2015)

    Voir aussi :

    Les sites web basés sur le CMS Magento ont été victimes d'attaques massives, rapportent les experts en sécurité de Sucuri

  2. #2
    Membre confirmé Avatar de a028762
    Homme Profil pro
    Retraité
    Inscrit en
    Décembre 2003
    Messages
    419
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Décembre 2003
    Messages : 419
    Points : 537
    Points
    537
    Par défaut
    Comme quoi les problèmes de sécurité ne sont pas que le problème des informaticiens,
    ils ont beau avoir proposé un correctif adapté,
    les pirates ont profité de l'ignorance (fainéantise, désintérêt ?) des clients pour les dupper.
    Ah, Mame Michou, kla vie est compliquée :-)
    Olivier

  3. #3
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    cela prend uniquement car trop peut de personne vérifie la source du fichier

  4. #4
    Futur Membre du Club
    Homme Profil pro
    Opérateur PAO
    Inscrit en
    Août 2008
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 66
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Opérateur PAO

    Informations forums :
    Inscription : Août 2008
    Messages : 7
    Points : 9
    Points
    9
    Par défaut Magento
    Bonsoir !

    Merci pour cet article ! Vous ne faites pas référence à une version ou une autre de Magento ?

    Je suis intéressé par Magento 2 !
    Quelle version de Magento sont touchées et est-ce que la version 2 peut être impacté. A telle déjà la "bonne" mise à jour par défaut, ou faut-il l'installer ?

    Merci

  5. #5
    Candidat au Club
    Homme Profil pro
    Responsable d'exploitation informatique
    Inscrit en
    Novembre 2010
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Responsable d'exploitation informatique
    Secteur : Distribution

    Informations forums :
    Inscription : Novembre 2010
    Messages : 1
    Points : 3
    Points
    3
    Par défaut
    A la lecture du blog de sucuri comme du communiqué de checkpoint, je ne vois pas en quoi ce serait un faux patch qui serait la cause.
    J'ai plus l'impression que c'est l'absence de mise en place d'un patch existant qui est en cause.

    Ensuite, pourquoi 50% des sites magento ne seraient pas patchés correctement ?
    Est-ce dû à de la négligence ou à chercher du côté d'incompatibilités avec des spécifiques ? Je n'en ai pas la moindre idée.

    En tous cas, merci de l'info.
    Dans ma boite, la direction souhaite abandonner notre site e-commerce développé fullstack en interne pour passer à un magento.
    Ca me fait une cartouche pour défendre notre boulot

Discussions similaires

  1. Réponses: 6
    Dernier message: 12/01/2014, 22h34
  2. Réponses: 0
    Dernier message: 01/02/2011, 11h24
  3. Réponses: 7
    Dernier message: 28/10/2010, 08h32
  4. probleme de connexion en lisant des vidéos sur les sites
    Par paladin54 dans le forum Windows XP
    Réponses: 8
    Dernier message: 09/11/2007, 11h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo