PrestaShop.com victime d'une intrusion
Publié par Gaël Lombart le
La solution e-commerce a connu une faille dans sa sécurité. Contré en quelques heures, ce hacking n'a pas engendré de dégât sur les boutiques utilisant le logiciel.
Le site officiel de PrestaShop a subi une intrusion mardi 23 août, qui a menacé momentanément la sécurité de boutiques utilisant sa solution. Le site “a été victime d’une infraction électronique entraînant le détournement d’un script de mise à jour d’actualité”, expliquait l'éditeur de logiciel sur son blog, le lendemain de l'attaque. PrestaShop a demandé aux utilisateurs de la version 1.4 de suivre une procédure afin de garantir à nouveau leur sécurité.
Ayant découvert l'infraction mardi, les équipes de PrestaShop ont effectué des tests dans la nuit de mardi à mercredi. Elles ont identifié le problème au matin. Il s'agissait d'un détournement du flux d'information du site PrestaShop.com. Les attaquants ont modifié le script d'émission de ces actualités, de manière à envoyer des fichiers malveillants à tout administrateur qui se rendrait sur l'interface de sa boutique. Un script introduit sur le site marchand permettait ensuite aux intrus d'en recevoir les identifiants par e-mail.
« Toute la société s'est mobilisée. Une équipe s'est chargée de constater le problème et une autre a créé le patch pour le résoudre. Il a été mis en place à 16 heures mercredi », informe le directeur technique de PrestaShop, Nebojsa Stojanovic, interrogé ce vendredi. « À ce jour, nous n'avons constaté aucun dégât sur les boutiques », précise-t-il. La communauté d'e-marchands a été mise à contribution pour trouver la source du problème.
« C'est la seule et unique porte d'entrée que le hacker a pu trouver. Le patch est préventif et ce problème ne pourra pas se reproduire », ajoute encore M. Stojanovic. PrestaShop présentera la version 1.5 de sa solution au salon E-Commerce Paris, qui se déroulera du 13 au 15 septembre 2011.