Securiser Prestashop: les conseils d’un expert en sécurité !

Peut importe que vous utilisiez Prestashop, WordPress, ou n’importe quel autre CMS open source, vous risquez à tout moment qu’un hacker découvre une faille de sécurité sur votre site et en profite pour voler vos données, accéder à votre back office ou détourner vos visiteurs.

Renforcer la sécurité de votre site doit faire partie de vos priorités et c’est pour cette raison que j’ai demandé à Julien Gadanho un expert en sécurité de nous délivrer ses conseils et ses astuces.

Avant d’aller plus loin pensez à vous inscrire à la BlackBox et développer vos ventes.

Inscrivez-vous à la blackbox

Olivier Clémence : Bonjour ici Olivier Clémence du blog reussir-mon-commerce.fr, je suis aujourd’hui avec Julien Gadanho qui est un expert en sécurité. Alors pourquoi je fais une interview de Julien Gadanho aujourd’hui ?

C’est tout simple, en fait j’ai eu un problème sur mon propre blog.

Je me suis fait hacker mon blog et je me suis retrouvé à perdre à peu près 70 à 80% du trafic de mon site justement à cause de virus et de hackers qui étaient passés par des failles et qui avaient réussi à récupérer une partie de mon trafic et du coup Julien est intervenu rapidement sur mon site pour corriger, donc déjà je le remercie pour ça. Julien est-ce que tu peux te présenter et nous dire un petit peu ce que tu fais ?

Julien Gadanho : Yes. Du coup je m’appelle Julien Gadanho, j’ai 19 ans, j’habite vers Lyon et donc je suis 100% à mon compte depuis à peu près deux ans.

Donc moi je travaille particulièrement dans la sécurité informatique donc ça passe par des outils de sécurité, donc avant de se faire hacker pour essayer justement de boucher les failles jusqu’à la désinfection, donc quand quelqu’un se fait pirater je vais sortir le hacker du serveur pour qu’il puisse retrouver un site avec un fonctionnement normal.

Si vous avez des problèmes de SPAM de vos formulaires de contact ou de création de compte client, pensez à installer un module de recaptcha.

Quelles sont les forces et les faiblesses de l’open source en terme de sécurité ?

O.C : Ok, donc c’est pour ça que je t’interviewe parce que c’est quelque chose qui va vraiment intéresser les auditeurs en fait, les commerçants. Moi je m’adresse beaucoup aux e-commerçants qui utilisent PrestaShop même si je vise la globalité des commerçants mais mon cœur de cible c’est quand même PrestaShop.

Prestashop c’est une solution qui est open source, est-ce que pour toi il y a un risque plus grand à utiliser une solution open source au niveau du hacking, au niveau des failles de sécurité ?

J.D : En fait l’open source l’avantage c’est que c’est très bien maintenu, c’est-à-dire que quand il y a une faille qui va être dévoilée elle va être corrigée très rapidement, etc et ça c’est le point fort d’open source et le point faible c’est que par contre les hackers vont pouvoir aller lire le code et détecter les failles plus facilement que si le code est privé et ils vont faire en fait des audit de code source et ça va leur faciliter le travail sur plein de points, et quand des plugins par exemple sont utilisés à plein d’endroits, l’avantage des hackers c’est qu’ils vont pouvoir hacker plein de sites de manière assez rapide avec des robots plutôt que de se focaliser sur un site comme on est obligé de faire avec un site qui est développé à la main on va dire.

O.C : L’idée c’est qu’en gros c’est plus facile de trouver des failles de sécurité mais c’est aussi corrigé plus rapidement du fait de la communauté autour de développeurs qui peut intervenir certainement plus vite que justement une petite équipe qui travaille sur quelque chose de propriétaire en fait. C’est ça que tu veux dire ?

J.D : C’est ça, c’est exactement ça et c’est pour ça que c’est très important de faire les mises à jour parce que les mises à jour c’est pas que des fonctionnalités supplémentaires, c’est aussi des mises à jour de sécurité et si on les fait pas en gros le hacker lui connait la faille qui est le public et il sait qu’elle est présente parce que la mise à jour n’a pas été faite donc d’où l’importance sur du open source de faire vraiment toutes les mises à jour de manière réactive.

Le certificat SSL améliore-t-il la sécurité d’une boutique ?

O.C : Alors du coup je vais enchaîner avec une autre question qu’on me pose assez souvent et qui est importante pour les e-commerçants c’est d’avoir un certificat SSL, est-ce que pour toi ça améliore vraiment la sécurité d’un site et en quoi ça l’améliore en fait ?

J.D : Alors le certificat SSL c’est plus en fait pour protéger ses utilisateurs que soit, c’est-à-dire qu’en fait le certificat SSL il va de manière simple encrypter les données et donc du coup en fait si un hacker est sur le même Wi-Fi que quelqu’un et que le site n’est pas en HTTPS il va voir ce qu’il se passe, si des numéros de cartes bleues passent il va les voir, des mots de passe, etc.

Ça s’appelle une attaque Man in the Middle donc ça veut dire que c’est quelqu’un qui est sur le même réseau que nous.

Donc ça va sécuriser ça par exemple sur des Wi-Fi publics comme la McDo, etc, le fait d’avoir HTTPS on va protéger ses utilisateurs et soi-même quand on se connecte à son compte par exemple pour éviter que les mots de passe passent en clair.

Olivier Clémence : D’accord donc en gros c’est plus vraiment de la sécurité au niveau des données qui transitent à travers le site plutôt que de protéger le site en lui-même en fait.

Julien Gadanho : C’est exactement ça, ce n’est pas en passant en HTTPS qu’on va boucher les failles de sécurité. Les deux n’ont aucun lien, c’est vraiment au niveau du protocole de communication.

Le certificat SSL est nécessaire sur votre boutique car il permet de crypter les données (comme les numéro de cartes bleues) qui transitent sur votre site, mais il ne permet pas de corriger les failles de sécurités éventuelles.

Quels sont les problèmes de sécurité courant sur une boutique Prestashop ?

O.C : Alors est-ce que tu aurais deux, trois, problèmes récurrents en termes de sécurité que tu rencontres souvent sur des sites PrestaShop et tu pourrais nous dires quels sont ces problèmes et leurs conséquences ?

J.D: Alors le problème en général c’est que les hackers ont plein de techniques pour aller monétiser leurs piratages.

Il y a le cas que tu as eu, c’est la redirection du trafic qui est quelque chose d’assez courant, ils vont rediriger le trafic sur des pubs, en général c’est des pubs adultes donc du coup en plus ça renvoi un mauvais signal pour Google et du coup à travers des redirections comme ça ce qui peut se passer c’est que le site se fait désindexer, le site est bloqué sur Google Chrome ça c’est quelque chose de très fréquent et du coup Google Chrome je ne connais plus trop sa part mais en gros il doit avoir quelque chose comme 60-80% du marché donc ça veut dire que 60 à 80% des personnes qui veulent aller sur votre site ne peuvent plus y accéder.

Si votre site est infecté, Google Chrome peut empêcher les internautes de le visiter. (Google Chrome est actuellement utilisé par environ 60% des internautes).

Avec ça il y a aussi l’envoi de mail, les hackers vont utiliser le serveur pour envoyer des mails donc du spams, etc et ce qui ne va pas se passer c’est que du coup après l’email est blacklistée, elle passe en spam et sur du PrestaShop le client qui reçoit une commande ou une relance d’un panier qui est pas complété, etc il le reçoit plus parce que ça part en spam parce qu’un hacker a pourri l’email on va dire.

O.C : Alors oui en effet comme tu l’expliques c’est exactement, pas au niveau des emails mais au niveau de la redirection du trafic depuis mon site vers d’autres sites, ce qui m’est arrivé et c’est pour ça qu’en fait on peut le constater en voyant son trafic dans Google Analytics qui tombe. Alors moi c’est tombé d’un coup sec.

On est intervenus assez rapidement ce qui fait que ça n’a pas eu de problèmes sur le positionnement de mon site dans Google mais clairement en fait l’impact peut être assez dramatique dans la mesure où si déjà on perd tout son trafic sur le moment venu et même une fois qu’on a corrigé il va falloir du temps que Google refasse confiance au site.

Google peut supprimer votre site de ses résultats s’il le considère dangereux pour les internautes. Vous risquez donc de perdre d’un seul coup tout le trafic qu’il vous apporte ainsi que le tout le travail de référencement que vous aurez fait.

Et après t’expliquais aussi que Google Chrome va bloquer le site et je suppose aussi que les antivirus risquent aussi de bloquer le site ce qui peut aussi diminuer le trafic. Donc clairement c’est des problématiques qui sont vraiment, vraiment dangereuses pour un site e-commerce.

Le problème du spam ça malheureusement on le rencontre très souvent au niveau des emails, ça c’est clair. J’ai plein d’e-commerçants qui essaient de trouver des problèmes techniques au fait que leurs mails ne partent pas mais c’est tout simplement que leur e-mail est complètement comme tu dis pourri et du coup les fournisseurs d’accès n’acceptent plus leurs mails, donc clairement c’est vraiment handicapant pour un site e-commerce.

Comment renforcer la sécurité et protéger vos données ?

Alors est-ce que tu aurais quelques actions simples qu’un e-commerçant peut mettre en place pour renforcer la sécurité de sa boutique ?

Quand je dis actions simples c’est des actions qu’un e-commerçant pourrait faire de lui-même en fait sans avoir de compétences particulières qui lui permettraient déjà d’améliorer un peu la sécurité de son site.

J.D : Pour revenir du coup sur ce que je disais tout à l’heure sur l’open source c’est les mises à jour qui sont importantes, il faut les faire vraiment en temps réel c’est-à-dire que quand il y a une mise à jour qui est annoncée il ne faut pas se dire « tiens je vais attendre, là je ne suis pas trop dispo en ce moment je vais plutôt attendre la semaine prochaine », parce qu’en fait entre temps les hackers ont une semaine pour faire ce qu’ils veulent ou encore mettre des mots de passe compliqués.

Mettez vos modules à jour le souvent et rapidement possible.

Moi c’est souvent que j’ai le cas où des clients disent « voilà je me suis fait pirater mon site » donc moi je demande souvent le mot de passe, alors j’en n’ai pas besoin pour agir mais c’est juste pour comprendre par où le hacker est rentré.

Quand il y a des mots de passe comme AZERTY, AZERTY123456 ou même des trucs un peu plus complexes avec les mots du dictionnaire ça peut être très rapidement retrouvable pour un hacker et si on veut on va dire se prémunir, pouvoir réagir en cas de hack ça peut être important d’activer les back-ups pour aller faire des sauvegardes de son site et le jour où on est piraté on est capable de rétablir une back-up.

Alors ça ne va pas corriger la faille mais par contre ça va permettre de faire un retour en arrière de manière assez rapide.

O.C : Oui pour au moins revenir à l’état entre guillemets normal et pouvoir corriger la faille sur un site qui n’est pas forcément infecté et du coup éviter de perdre trop. Clairement si on a des sauvegardes qui datent d’une semaine ça va encore, après quand on commence à avoir des sauvegardes qui vont dater d’un mois, même deux mois, trois mois ça comment à être compliqué sur un e-commerce où on va avoir perdu des commandes, on va avoir perdu des comptes clients, voilà il y a un suivi qui est compliqué. Clairement les back-ups, quand on dit back-ups on parle de sauvegardes, c’est vraiment pour moi la première chose à mettre en place, des sauvegardes en automatique, voilà.

Toi tu t’y connais très bien en sécurité, même en faisant appel à un expert c’est très difficile de se protéger de toutes les failles qui puissent exister et de tous les hackers qui travaillent justement ardemment à hacker les sites et la meilleure protection c’est d’avoir une sauvegarde derrière, enfin je ne sais pas ce que tu en penses à ce niveau-là.

J.D : Alors oui c’est ça après il faut faire attention quand même parce que les hackers savent qu’il y a des back-ups et donc du coup ils aiment bien s’introduire dans les back-ups, c’est-à-dire qu’ils vont mettre un fichier, on va dire un virus dormant, le virus va dormir dans la back-up et ils vont l’activer peut-être au bout d’une semaine donc ça veut dire qu’en fait si on rétablit une back-up qui date de 3-4 jours ça se trouve il y aura encore le virus qui dort et en fait on va remettre une back-up infectée, etc et ça ne s’arrêtera jamais.

Ce qui est important, tu parlais des commandes, si on fait juste un back-up des fichiers et que la base SQL on la laisse telle quelle en général les hackers ne s’attaquent pas trop à la base de données SQL ou alors ils vont juste rajouter des utilisateurs. Moi ce que je fais en général c’est que je mets un back-up des fichiers et je vais nettoyer la base SQL en regardant si le contenu des articles n’a pas été modifié, s’il n’y a pas des utilisateurs qui ont été rajoutés, etc.

Vous devez avoir des sauvegardes régulières de vos données
et idéalement sur un autre serveur que celui qui héberge votre site.

O.C : D’accord, ok. Alors est-ce que sur PrestaShop tu connais des modules qu’on peut installer en particulier qui vont améliorer la sécurité de la boutique ?

J.D : Alors comme ça pas du tout, j’ai aucune idée de ce qui se fait comme module sur PrestaShop. Après ce qu’il faut savoir c’est à peu près la même chose partout en fait.

Les modules en général c’est des firewalls en fait, des pares-feux. Le problème d’un pare-feu en fait c’est que ça ne va pas corriger les failles, ça va bloquer les tentatives d’attaque donc c’est-à-dire que si le hacker envoie certaines commandes qui sont connues comme des attaques ça va sûrement être bloqué mais par contre en fait si il a déjà la faille parce que la mise à jour n’a pas été faite il va pouvoir quand même passer outre le pare-feu donc c’est une bonne sécurité mais c’est pas ça qui fait tout le travail.

Le travail de Julien: Renforcer la sécurité, désinfecter les sites piratés, protéger vos données.

Olivier Clémence : Ouais d’accord c’est éventuellement un premier pas mais c’est loin d’être suffisant pour bien protéger son site en gros. Ok donc toi t’as lancé l’entreprise SecureMyData, est-ce que tu peux nous expliquer ce que tu fais, les services que tu proposes et comment ça peut être utile aux e-commerçants par exemple ?

Julien Gadanho : Alors du coup je fais beaucoup de désinfection en ce moment, je désinfecte beaucoup de site. Moi j’essaye de tendre vers une approche on va dire plus préventive qu’active parce qu’en fait c’est jamais cool pour personne de bosser dans l’urgence, quand il y a des problèmes, etc et j’essaye au maximum de faire de la prévention et d’aller faire de la maintenance.

C’est-à-dire que j’ai développé un anti-virus qui me sert pour mes désinfections mais qui me sert aussi pour la surveillance, c’est-à-dire que je vais aller scanner les fichiers tous les jours des personnes pour vérifier en fait qu’il n’y a pas eu d’intrusion. Je vais mettre quelques bonnes pratiques en place pour éviter que l’intrusion arrive et l’idée c’est de surveiller la sécurité du site et de la maintenir pour qu’il n’y ait pas de problème qui arrive et que s’il y a un problème qui arrive on ait les back-ups, on le sache tout de suite, etc et l’idée c’est vraiment de monitorer tout ça.

O.C : Et au niveau des back-ups justement t’expliquais que le hacker pourrait très bien s’attaquer à des back-ups, etc, toi de ton côté tu as un service il me semble particulier où tu peux sauvegarder les back-ups sur des serveurs différents qui vont éviter justement au hacker de pouvoir s’attaquer aux back-ups.

J.D : C’est ça parce qu’en fait le fait de mettre des back-ups sur le même serveur ça n’a pas trop d’intérêt parce qu’en fait un hacker qui s’introduit et qui décide en fait de modifier le back-up puisqu’elle est présente au même endroit c’est quelque chose qui est tout à fait faisable.

Alors ce que je fais moi c’est que je vais télécharger tous les fichiers, je vais les zipper et je vais mettre ça sur OneDrive donc c’est un équivalent de Dropbox et je mets tout dessus et comme ça le jour où y a un problème moi j’ai les back-ups en externe et en étant sur le site le hacker ne voit pas mes accès à OneDrive, du coup c’est des back-ups qui sont complètement isolés et qui sont intouchables on va dire.

O.C : Ok donc là tu garanties en fait un back-up qui n’a pas été forcément infecté par le hacker du moment que le back-up n’a pas été fait après l’infection, tout simplement.

J.D : C’est ça et ce que je fais un back-up par jour et je garde un an de back-up. Alors c’est beaucoup, pour l’instant j’ai pas de problème de place donc j’en prends un maximum et ça permet vraiment de pouvoir faire un retour au stade où on veut et je fais le back-up de la base de données SQL et des fichiers.

En général c’est surtout les fichiers que je rétablie mais je fais un back-up de la base SQL au cas où il y aurait des suppressions, un hacker qui s’introduit, qui décide de supprimer tous les produits ou des choses comme ça. C’est important de faire le back-up des deux même si le back-up SQL ne sert que très rarement on va dire.

O.C : Dernière question, est-ce que tu peux nous donner l’adresse de ton site internet où on peut te contacter si on  a besoin de ces services ?

J.D : Alors sur securemydata.fr, donc c’est de l’anglais et au singulier.

O.C : Ok, très bien je mettrai l’adresse de ton site juste en dessous de la vidéo donc n’hésitez pas à aller voir ce que fait Julien. Il est intervenu sur mon site très rapidement en à peine deux jours c’était résolu, même pas, une journée et demie je crois le problème était résolu alors qu’il y avait eu pas mal de travail à faire dessus donc je vous invite vraiment à travailler avec Julien si malheureusement c’est déjà trop tard et que vous avez déjà votre site qu’est hacké et si vous voulez protéger votre site, Julien a des solutions pour monitorer tout ça et corriger les failles. Voilà, écouté merci Julien et je souhaite ne pas avoir besoin de tes services trop tôt (rires) et puis écoute on, fera une vidéo un de ces quatre si on a d’autres choses à rajouter. Je te remercie.

J.D : Je te souhaite aussi de ne pas me rappeler trop tôt et merci pour l’invitation.

O.C : Ciao.

Subscribe
Recevoir un email pour
guest

0 Commentaires
Inline Feedbacks
View all comments