Magento est une plateforme de gestion de contenus e-commerce qui a été rachetée en mai dernier par le groupe Adobe. Elle permet à quiconque de créer une boutique en ligne assez simplement, sur le même principe qu’un Prestashop, Woocommerce ou Wix.
Jeudi dernier, l’éditeur de la solution a publié un correctif pour une faille critique sous le nom de PRODSECBUG-2198. Comme toujours, de nombreux webmasters mettent du temps à réaliser la mise à jour de leur CMS (Content Management System), ce qui implique qu’une partie des 300 000 sites tournant sous Magento est encore vulnérable à un piratage.
Un business lucratif pour les pirates
Cette injection SQL est présente aussi bien dans la version commerciale que dans la version open-source de Magento. N’importe quel hacker peut ainsi récupérer les identifiants et mots de passe pour ensuite contrôler les accès admin à ce CMS.
S’il décider (malheureusement) d’aller au bout des choses, il pourra injecter un script pour récupérer les codes de cartes bancaires (clonage de carte, ou card skimming) pour toutes les transactions effectuées par des clients sur ces sites marchands. Ce type de piratage est devenu très populaire en raison du potentiel de gains que peuvent en tirer les hackers.
Jérôme Segura, analyste senior de la société Malwarebytes s’inquiète : “Il n’y a aucun doute sur le fait que les pirates soient en train d’essayer de reverser le patch ou attendent qu’une solution soit publiée pour exploiter cette faille à grande échelle. Quand il s’agit de piratages de sites sous Magento, le clonage de cartes est le type d’infection le plus populaire en raison de leur rendement élevé. Par conséquent, on peut logiquement s’attendre à voir une nouvelle vague d’attaques liée à cette nouvelle vulnérabilité”.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Ils ferraient mieux de trouver une solution pour rendre cette mise à jour automatique, ou de l’imposer dès que quelqu’un se connecte au back office. Ca permettrait d’éviter que les vulnérabilités trainent à être corrigées. J’ai un peu de mal à comprendre qu’un site prenne parfois un temps infini à appliquer de telles mises à jour compte tenu de l’importance du ecommerce, en gros c’est parfois un peu trop au bon vouloir de la faire ou non.