Sécurité : "email avec Nouveau mot de passe"

[Asu34]

Bonjour à tous,

Ce matin en regardant mes mails, j'en voit un reçu à 1h26 (un seul concernant mon site) qui m'indique "Vos nouvelles informations d'identification..." avec en contenu un nouveau mot de passe.

Je tente de m'identifier avec mon ancien mot de passe qui effectivement est modifié par celui indiqué dans le mail.

1 - J'ai regardé les logs WEB du serveur et j'ai vu ces lignes de la même IP à 1h26 contenant :
 

72.240.108.36 www.mon-site-internet.fr - [04/Apr/2024:01:26:25 +0200] "GET /js/lazyload.js HTTP/1.1" 200 1644 "https://www.mon-site-internet.fr/mot-de-passe-oublie?token=a930349fa90831842215a676541d5d25&id_customer=352" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
72.240.108.36 www.mon-site-internet.fr - [04/Apr/2024:01:26:25 +0200] "GET /img/mon-site-internet-logo.png HTTP/1.1" 200 1525 "https://www.mon-site-internet.fr/mot-de-passe-oublie?token=a930349fa90831842215a676541d5d25&id_customer=352" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
72.240.108.36 www.mon-site-internet.fr - [04/Apr/2024:01:26:25 +0200] "GET /themes/mon-theme/cache/v_2473_3c32ad9655171a3c25b078993eb798ce_all.css HTTP/1.1" 200 52200 "https://www.mon-site-internet.fr/mot-de-passe-oublie?token=a930349fa90831842215a676541d5d25&id_customer=352" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
72.240.108.36 www.mon-site-internet.fr - [04/Apr/2024:01:26:25 +0200] "GET /themes/mon-theme/cache/v_2037_6977819a3dabd1b535879bbc3c1e79a1.js HTTP/1.1" 200 111728 "https://www.mon-site-internet.fr/mot-de-passe-oublie?token=a930349fa90831842215a676541d5d25&id_customer=352" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
72.240.108.36 www.mon-site-internet.fr - [04/Apr/2024:01:26:27 +0200] "GET /themes/mon-theme/fonts/fontawesome-webfont.woff2?v=4.3.0 HTTP/1.1" 200 56780 "https://www.mon-site-internet.fr/themes/mon-theme/cache/v_2473_3c32ad9655171a3c25b078993eb798ce_all.css" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
72.240.108.36 www.mon-site-internet.fr - [04/Apr/2024:01:26:30 +0200] "GET /authentification HTTP/1.1" 200 14901 "https://www.mon-site-internet.fr/mot-de-passe-oublie?token=a930349fa90831842215a676541d5d25&id_customer=352" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
72.240.108.36 www.mon-site-internet.fr - [04/Apr/2024:01:26:32 +0200] "GET /themes/mon-theme/cache/v_2037_bc36f06820b560eecbd1e1565a3187fc.js HTTP/1.1" 200 122111 "https://www.mon-site-internet.fr/authentification" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36"
72.240.108.36 www.mon-site-internet.fr - [04/Apr/2024:01:26:32 +0200] "GET /themes/mon-theme/cache/v_2473_8d9bc319d43cd7c1a15b7a74cd105e31_all.css HTTP/1.1" 200 52327 "https://www.mon-site-internet.

2 - Je remarque également l'accès à 2 fichiers présents dans mon dossier /theme/mon-theme/cache/. Je vous joins le fichier JS de ce dossier.

3 - D'ailleurs dans ce dossier cache j'ai un autre dossier "ie9" qui lui contient des CSS qui commence tous par "ie_split_2_v_xxxxx". Est-ce que la présence de ce dossier est normal ? Je ne le retrouve pas sur d'autre site...

Dois-je m'inquiéter ? (Je le suis ^^).
 

PI : Le site est un PS 1.6.1.24

Qu'en pensez-vous ?

Merci par avance pour votre retour 

v_2037_6977819a3dabd1b535879bbc3c1e79a1.rar

[Eolia]

Concernant les dossiers caches, aucune inquiétude à avoir c'est normal qu'ils soient utilisés.

Concernant le mot de passe, vous devez avoir un compte client qui utilise le mail mail que celui de votre boutique et un petit malin a utilisé ce mail pour faire "Mot de passe oublié".

Si votre messagerie avait été piratée il aurait reçu votre mot de passe.

[Asu34]

Bonjour Eolia et merci pour cette rapidité et informations "rassurante".

18 minutes ago, Eolia said:

vous devez avoir un compte client qui utilise le mail mail que celui de votre boutique et un petit malin a utilisé ce mail pour faire "Mot de passe oublié"

Pas sûr avoir compris :(. J'ai effectivement la même adresse mail pour l'accès front (client) et aussi pour le back-office (d'ailleurs j'avais le même mdp pour les 2, je viens de les changer par 2 différents ^^.

Ce que je trouve bizarre, c'est qu'il n'y a eu qu'un seul mail envoyé avec le contenu de ce mot de passe.
Ca ressemble au process du "mot de passe oublie" de la page d'identification de mon back office (je ne la vois cependant pas dans les logs.).

Car quand je fais une simulation avec "mot de passe oublié" uniquement côté client (front) là ça envoie 2 mails : 
un premier avec "Confirmation de demande de mot de passe avec un lien qui permet confirmer cette demande.
Quand on clique dessus là on reçois ce 2nd mail avec "Votre nouveau mot de passe".
Ce qui n'a pas été le cas cette nuit... avec qu'un mail reçu.

Je pensais utiliser /lancer éventuellement votre cleaner.php.

Qu'en pensez-vous ?

Merci encore par avance

Edited April 4 by Asu34 (see edit history)

[Eolia]

Un passage de cleaner ne fera jamais de mal mais passer à PhenixSuite serait un vrai plus au niveau sécurité (surtout au niveau des mots de passe qui ne sont plus jamais envoyés en clair)