Une faille de sécurité exploitée sur la solution magento

Magento est une plateforme e-commerce qui se partage le leadership mondial avec Prestashop pour les boutiques en ligne open-source sous PHP. Ces plateformes complètes offrent toutes les fonctionnalités attendues pour une gestion de boutique e-commerce ainsi que des plugins pour étendre ces fonctions. Victime de son succès, Magento a été la cible en octobre 2015 de scripts exploitant une faille de sécurité. Revenons en arrière.

Première phase: détection de la faille et proposition d’un correctif

Magento et sa communauté propose des correctifs de maintenance avec une fréquence régulière afin de contrer les failles découvertes. Ainsi, début 2015, un correctif est mis en téléchargement afin de prévenir des attaques pour subtiliser des informations bancaires ou des données clients. Ce correctif, très important, devait être déployé sur tous les sites magento et était considéré comme une évolution incontournable.

source : https://blog.sucuri.net/2015/04/critical-magento-shoplift-vulnerability-supee-5344-patch-immediately.html

Pourtant, beaucoup de sites internet magento utilisant ebay étaient toujours vulnérables un an après. Une des raisonsavancées par les experts est une certaine crainte de « planter » le système e-commerce, ce qui est légitime pour des personnes peu accompagnées dans l’aspect technique.

Deuxième phase: Entrée en scène des hackers

Devant cette inertie, les pirates ont décidé de proposer un faux correctif de faille. Ce dernier

  •  installait un keylogger (système qui enregistre les frappes au clavier) notamment sur les pages de saisie de coordonnées bancaires pour le paiement. Ces données étaient stockées avec les informations personnelles des utilisateurs dans des fichiers images qui étaient envoyées régulièrement vers une adresse email.
  • permettait l’exécution de code, ou le changement de permission des fichiers

source: http://www.developpez.com/actu/96137/Des-attaquants-se-servent-d-un-faux-correctif-sur-les-sites-e-commerce-Magento-pour-pirater-des-boutiques-en-ligne/