[Sécurité] Vérifiez si votre Prestashop est vulnérable

[arnolem]

Bonjour à tous,

 

Je me permets d'attirer votre attention sur un article expliquant une faille de sécurité liée à une mauvaise configuration de Prestashop, qui est présente sur un grand nombre de sites e-commerce.

 

Cette vulnérabilité permet à n'importe quel visiteur, d'afficher des informations confidentielles comme votre marge (en récupérant le prix d'achat), les réductions applicables sur un produit, les prix négociés avec des clients privilégiés, des identifiants (Ex : Facebook) etc.

 

Vous trouverez plus de détail dans l'article : http://blog.wixiweb.fr/faille-securite-prestashop-smarty/

 

N'hésitez pas à communiquer rapidement aux e-commerçant que vous connaissez

 

Cordialement

[SMorillon.com]

Bonjour,

 

Ceci n'est pas une faille de sécurité mais bien un problème de mauvaise configuration !

[arnolem]

Bonjour,

 

Ceci n'est pas une faille de sécurité mais bien un problème de mauvaise configuration !

 

La divulgation de données confidentielles est une faille de sécurité, que le problème provienne d'un bug ou d'une mauvaise configuration.

La plupart des failles de sécurité sur un serveur web sont dues à un problème de configuration

 

Wikipedia :

Une vulnérabilité ou faille est une faiblesse dans un système informatique, permettant à un attaquant de porter atteinte à l’intégrité de ce système, c’est-à-dire à son fonctionnement normal, à la confidentialité et l’intégrité des données qu’il contient.

 

On est en plein dedans !

Edited July 29, 2013 by arnolem (see edit history)

[SMorillon.com]

Oui mais non...

 

C'est bien une faille de sécurité mais d'un site en particulier.

Ce n'est pas une faille de sécurité de Prestashop.

[arnolem]

Oui mais non...

 

C'est bien une faille de sécurité mais d'un site en particulier.

Ce n'est pas une faille de sécurité de Prestashop.

 

Si on reprends mon 1er post :

Je me permets d'attirer votre attention sur un article expliquant une faille de sécurité liée à une mauvaise configuration de Prestashop, qui est présente sur un grand nombre de sites e-commerce.

On est d'accord ^^

 

Au passage, même si ce n'est pas une faille DE prestashop, un correctif a été proposé ici : https://github.com/PrestaShop/PrestaShop/pull/606

[SMorillon.com]

On est d'accord ^^

 

Tout a fait

En fait ma remarque était par rapport au titre de l'article du blog mais pas du post.

 

Au passage, même si ce n'est pas une faille DE prestashop, un correctif a été proposé ici : https://github.com/P...taShop/pull/606

 

Je n'appel pas çà un correctif mais l'ajout d'une sécurité pour ceux qui configure mal Prestashop...

[arnolem]

Je n'appel pas çà un correctif mais l'ajout d'une sécurité pour ceux qui configure mal Prestashop...

Bien sur, c'était pour le Troll.

 

Et pour le titre de l'article, c'est pas évident de mettre un maximum d'informations tout en restant concis.

[Soyons Solidaire]

Bonjour à tous

 

Merci arnolem . Pour sécurisé PrestaShop version 1.5.4.1, Quelle est la bonne configuration ?? Merci

 

Amitiés

[Atch]

Merci Arnolem pour le retour.

 

Bonjour à tous

 

Merci arnolem . Pour sécurisé PrestaShop version 1.5.4.1, Quelle est la bonne configuration ?? Merci

 

Amitiés

 

http://www.prestashop.com/blog/fr/5-regles-a-respecter-avant-de-mettre-sa-boutique-en-production/

 

V++

 

Atch

[Soyons Solidaire]

Bonjour

 

Merci Atch pour le retour.

 

Amitiés

[Paul MONFILS]

Tiens, comme je savais pas quoi mettre dans la newsletter de cette semaine en information complémentaire, avec le lien que tu donnes Atch, vais pouvoir faire une note de "rappel" à nos clients ayant un e-commerce avec Prestashop...

[Atch]

Salut Paul monfils,

 

Damien a rédigé ce memento à la suite de l'article d'Arnolem ... N'étant pas une faille dans le code mais plus une "faille des utilisateurs", il était bon de rappeler certains points ( Merci Damien)

 

V++

 

Atch

[Paul MONFILS]

Salut Paulo,

je préciserai alors: merci Damien

[Xavier du Tertre]

Bonjour Arnaud, et merci d'avoir mis le doigt sur ce point important !

 

Comme vous l'avez vu, cela nous a permis d'écrire tout de suite un article à ce sujet, pour que le minimum possible de marchands configurent leur boutique de telle façon que des données sensibles soient visibles par leurs visiteur. L'article est ici : http://bit.ly/13rHU8h

 

J'ai également répondu sur votre blog en commentaire

 

Bonne soirée !

[arnolem]

Bonjour Arnaud, et merci d'avoir mis le doigt sur ce point important !

 

Comme vous l'avez vu, cela nous a permis d'écrire tout de suite un article à ce sujet, pour que le minimum possible de marchands configurent leur boutique de telle façon que des données sensibles soient visibles par leurs visiteur. L'article est ici : http://bit.ly/13rHU8h

 

J'ai également répondu sur votre blog en commentaire

 

Bonne soirée !

Merci Xavier,

 

Je vous ai répondu (et j'ai complété suites à vos remarques )

[arnolem]

Bonjour Xavier,

 

Quelques sont les prochaines actions de communication de Prestashop concernant ce problème de sécurité ?

Pour avoir fait quelques tests, Il y a encore énormément de e-commerçants non protégés.

 

Merci

[DevNet]

Comme je l'ai répondu sur twitter , ce n'est pas une faille de sécurité. C'est simplement une configuration pour le mode DEV qu'il faut s'assurer d'enlever en mode production.

Au même titre qu'un serveur web test et un serveur web production.

 

Je trouve ça dommage de mêler le nom de PrestaShop dans ce genre d'article simplement pour faire un buzz grâce au titre.

 

Même si l'article apporte un rappel judicieux sur l'intérêt de se soucier de cette option de développement, il ne faut pas faire de l'intox dessus pour générer du traffic sur votre blog ... Encore des techniques de journalisme que je ne supporte pas, et qui peuvent vous démonter une image, alors qu'il n'en est rien. Ceci s'appelle aussi de la diffamation.

 

L'option de la console de débogage de smarty est une OPTION.

 

Pour votre culture personnelle, une faille de sécurité permet la tentative de piratage par détournement volontaire ou involontaire du fonctionnement normal du système. Est-ce le cas ? non.

 

C'est exactement la même chose si votre serveur autorise le phpinfo . Est-ce une faille ? non ceci fait partie des options configurables selon l'environnement de développement, de test, ou de production.

 

Quoi qu'il en soit, merci pour cet article et ce rappel, mais évitez ce genre de titre !

 

A+

[arnolem]

Bonjour DevNet,

 

C'est assez marrant, d'avoir la même discussion sur Twitter, ici et sur notre blog.

Pour éviter de répéter une nouvelle fois la même chose, je me permets de vous renvoyer sur la réponse postée hier soir à la suite de votre commentaire : http://blog.wixiweb.fr/faille-securite-prestashop-smarty/#comment-85785

 

L'article a été écrit très très tardivement, il est possible que certaines tournures soient un peu maladroite, mais cela ne change pas qu'il y a un réel gros problème qu'il ne faut pas prendre à la légère.

[DevNet]

Bonjour DevNet,

 

C'est assez marrant, d'avoir la même discussion sur Twitter, ici et sur notre blog.

Pour éviter de répéter une nouvelle fois la même chose, je me permets de vous renvoyer sur la réponse postée hier soir à la suite de votre commentaire : http://blog.wixiweb..../#comment-85785

 

L'article a été écrit très très tardivement, il est possible que certaines tournures soient un peu maladroite, mais cela ne change pas qu'il y a un réel gros problème qu'il ne faut pas prendre à la légère.

 

Changez tout simplement votre titre "Prestashop, une faille de sécurité liée à smarty" par "Prestashop, une option de débogage smarty à ne pas prendre à la légère" et tout ira bien.

Et arrêtez de vouloir faire le buzz avec ça...

 

A+

[arnolem]

Avez-vous compris que toutes les personnes ayant installé Prestashop 1.4 (soit 125.000 installations) et n'ayant pas modifié la ligne 40 d'un fichier de configuration secondaire sont vulnérables à un vol de données ?

 

Je crois que cela justifie amplement le fait de vouloir communiquer (buzzer) sur ce problème ?

 

Vous n'êtes aucunement obligé de relayer cette information ou de considérer cela comme une faille de sécurité.

Edited July 31, 2013 by arnolem (see edit history)

[DevNet]

Avez-vous compris que toutes les personnes ayant installé Prestashop 1.4 (soit 125.000 installations) et n'ayant pas modifié la ligne 40 d'un fichier de configuration secondaire sont vulnérables à un vol de données ?

 

Je crois que cela justifie amplement le fait de vouloir communiquer (buzzer) sur ce problème ?

 

Vous n'êtes aucunement obligé de relayer cette information ou de considérer cela comme une faille de sécurité.

 

Pourquoi avoir orienté votre article sur PrestaShop 1.5 ? Dès les premières lignes ?

 

On retrouve simplement en milieu un tout petit :

Cette option étant désactivée par défaut dans la dernière version (elle était activée par défaut en 1.4), il est difficile d’imputer ce problème de sécurité à Prestashop. De plus, cette faille n’est pas liée à un bug mais à une mauvaise configuration.

 

Si ça c'est pas de l'intox à la manière des journaux de presse à scandale !

 

Si vraiment votre volonter est bien d'alarmer les commerçants du problème de configuration par défaut sur 1.4, qui engendre des risques avérés et effectivement potentiellement dangereux si les données tombent entre de mauvaises mains, alors pourquoi ne pas aller dans le vif du sujet et de vous axer essentiellement sur la 1.4 et non la 1.5 qui n'a rien à voir avec le sujet ?

 

Avec ce genre d'article, vous créez un climat de panique, pour simplement lire en tout petit, finalement ça ne concerne que les 1.4 .

 

Comme le dit Xavier, c'est très bien de votre part de mettre en avant le problème, mais franchement, pas de cette manière.

 

Je persiste donc, la façon dont votre article est écrit, est ni plus ni moins une intention de buzz dans le votre titre.

 

A+

Edited July 31, 2013 by DevNet (see edit history)

[Seo Organique]

"....Un climat de panique..." je trouve les termes vraiment excellent on est en plein dedans.

 

V1.4 au passage....

[J. Danse]

Une chose est sure: quelques marchands / intégrateurs / développeurs sont maintenant au courant.

 

Et le buzz, c'est pas Arnaud qui l'aura maintenu, en tout cas ! ;-)

[Yoya]

Merci Arnolem pour l'article et à Devnet pour son analyse du risque

[arnolem]

Bonjour DevNet,

 

Le problème n'est pas exclusivement sur la version 1.4. Beaucoup de commerçants m'ont contactés et avaient le problème sur leur Prestashop 1.5.

 

Au passage, je prends énormément de temps à aider "bénévolement" les commerçants qui me contactent suite à ce problème (et à mon article). Je n'ai donc pas forcement envie de prendre encore de mon temps pour vous répondre dans le détail. Vous avez le droit de ne pas aimer la tournure de l'article et je vous remercie de la signaler.

J'ai par contre un peu de mal à comprendre votre acharnement à ce sujet. Vous pourriez utiliser vos forces en publiant sur votre site, un article tourné à votre image permettant d'informer un maximum de gens. A vous de voir

 

PS : N'insistez pas de trop sinon je vais vraiment changer de titre pour vous faire plaisir, je n'aime pas voir les gens tristes

 

Bonne journée !

[arnolem]

Bonjour,

 

Un nouvel article vient de paraître à ce sujet.

http://www.undernews.fr/reseau-securite/prestashop-un-defaut-de-parametrage-rend-vulnerable-des-milliers-de-sites-e-commerce.html

Si vous n'avez pas encore vérifier votre boutique, c'est le moment.

Il y a encore énormément de sites e-commerce vulnérables

[J. Danse]

Et, pour l'info, la version 1.5.5 intègre la clé d'ouverture pour la console de debug. Par contre, niveau configuration, c'est toujours SMARTY_DEBUG par défaut. Si l'utilisateur utilise cette méthode, il devra prendre le soin de modifier la clé.

[Mellow]

Faille ou pas vraiment faille, buzz ou pas buzz, MERCI en tout cas à arnolem pour cette information !

Pour ma part, je ne connaissais même pas l'existence de cette méthode pour ouvrir la console smarty

Corrigé en ligne, et bien pratique en local...

[Dev On Web]

@Arnolem : merci pour le lien vers mon site^^

 

Oui effectivement, ce n'est pas une faille mais un soucis de configuration des boutiques

[arnolem]

Oui effectivement, ce n'est pas une faille mais un soucis de configuration des boutiques

Mais euh ...

Peu importe la source du problème, un site qui expose ses données privées de manière publique est bien victime d'un trou de sécurité.

C'est comme si Sony disait : " On c'est fait voler tous nos mots de passe mais c'est pas une faille de sécurité, juste une problème de configuration "

[jeckyl]

C'est comme si Sony disait : " On c'est fait voler tous nos mots de passe mais c'est pas une faille de sécurité, juste une problème de configuration "

 

attention dans la majorité des cas de vols de données sur des grands groupes comme sony, facebook, nintendo, les soucis venez d'une erreur humaine et rarement d'un trou de sécurité dans leur système.

Mais bon après la réalité et la communication il y a un faussé.

 

Et comme je le disait le soucis est une vrai faille dans la 1.4 puisqu'il faut intervenir dans le code pour la corriger, sur la 1.5 c'est une énorme bêtise des développeurs de la solutions ce qui n'est pas vraiment mieux.