Clés posée sur une table

Sites e-commerce Magento : attention au faux correctif de sécurité

Un faux correctif propose actuellement aux sites réalisés sous Magento de corriger une faille de sécurité nommé Shoplift Bug ou SUPEE-5344. Cette faille de sécurité existe depuis plus d’un an et la moitié des sites n’ont pas encore appliqué ce correctif livré en février 2015. Je parle de l’officiel bien sûr.

Les pirates profite de cette occasion pour tenter d’abuser les e-commerçants en tentant de leur faire télécharger une fausse mise à jour du correctif.

Cette alerte est très sérieuse. Elle a été publiée le 12 février dernier sur le blog Securi blog par Denis Sinegubko, chercheur en sécurité.

L’exploitation de cette faille de sécurité Shoplift Bug ou SUPEE-5344 mettrait en danger les sites e-commerce réalisés sous Magento. Elle permet l’exécution de code à distance pour créer des accès administrateurs frauduleux, installer des malwares, ajouter du code javaScript pour récupérer les données des cartes de paiement et collecter de nombreuses informations complémentaires…

Il est recommandé de vérifier que la version Magento utilisée est la plus récente. Denis Sinegubko, expert en sécurité informatique, recommande aussi de modifier ses mots de passe, de vérifier l’ensemble des comptes administrateurs, sans oublier de passer au crible l’ensemble des fichiers du site pour vérifier qu’ils n’ont pas été modifiés.

Sources :
www.lemondeinformatique.fr/ – Un faux correctif menace les sites e-commerce Magento
> www.developpez.com/ – Des attaquants se servent d’un faux correctif sur les sites e-commerce Magento

Auteur : Denis ALLARD

Denis ALLARD
Rédacteur Web sur le blog studiovitamine depuis 2009, j'ai pu mesurer l'évolution fulgurante du web, des nouvelles technologies, du e-commerce... Quand je n'écris pas pour le web, je me consacre à l'ergonomie, au référencement naturel et à la formation universitaire des futurs concepteurs de sites...

Commentaires Facebook

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *