création d'un code promo par piratage ?

[Micka 0]

Bonjour,

J'ai eu le grand étonnement ce matin de recevoir un email m'informant de la création d'un code promo, puis un second, sur ma boutique Peel Premium 5.5

Je suis le seul administrateur de ma boutique et je n'ai pas créé ces codes promo !

J'ai regardé dans le back office, rubrique fidélisation > codes promo ; je vois bien les 2 codes qui sont liés au même client.

Le client en question a créé son compte il y a moins d'une semaine et n'a rien commandé.

Je pense qu'il s'agit d'un piratage et je suis très inquiet pour la sécurité des informations stockées dans Peel (comptes clients, mots de passe etc...) et pour la pérennité de ma boutique.

Avez-vous une idée de ce qui a pu se passer ? Comment protéger ma boutique à présent ?

Merci de votre aide car je suis vraiment très inquiet.

[Cecobe 0]

En effet, c'est très inquiétant ;)

Ce serait moi, je virerais le client en question.

Pour protéger mon répertoire admin, j'y ai placé un htaccess. Je pense également à renommer ce répertoire.

J'attends de lire quelles seront les préconisations des responsables de Peel.

Cordialement.

[Gilles Boussin 0]

Bonjour,

Ce que dit Cecobe est tout à fait important :

- le fait de renommer votre répertoire pour vous permet de vous prémunir contre toutes les attaques qui ciblent un appel direct aux scripts de ce répertoire. Ceci est mentionné dans la procédure d'installation

- par ailleurs, une protection par .htaccess / .htpasswd est pertinente, même si elle plus difficile à mettre en place pour un néophyte, et rajoute une popup au login ce qui est moins pratique.

Par ailleurs, votre hébergement doit être bien configuré et sécurisé, sur nos serveurs nous avons mis en place de nouvelles multiples protections l'année dernière.

En ce qui concerne le code de PEEL :

- nous avons mis en place depuis plusieurs versions des .htaccess dans divers répertoires qui empêchent l'appel direct aux .php, pour éviter qu'une personne puisse tenter d'exploiter ces fichiers en direct.

- nous avons amélioré considérablement la sécurité depuis 1 an, et la version 5.7 de PEEL Shopping ainsi que la 5.71 de Premium qui viennent de sortir (communication sur le forum en préparation pour aujourd'hui pour Shopping, et lundi pour Premium) , soldent toute cette démarche qui a par ailleurs été confrontée à un audit de sécurité.

Nous allons encourager tous les utilisateurs à se tourner vers ces nouvelles versions pour lesquelles nous avons beaucoup travaillé en terme de corrections diverses et de sécurité.

ET SURTOUT :

- attention à vos mots de passe FTP sur votre PC => ne les stockez pas dans filezilla par exemple, ou à défaut faites très attention d'avoir un antivirus performant et à jour (Kaspersky par exemple) et naviguez sur internet avec un navigateur bien à jour tel que firefox pour ne pas avoir de virus.

Mes conseils en conclusion :

- faites comme vous dit Cecobe,

- tenez compte de ma remarque sur le FTP, de nombreuses personnes sont concernées par ce sujet,

- je vous invite à migrer votre site vers Premium 5.71, qui est l'aboutissement de tout le travail sur la qualité et la sécurité qui sont notre priorité depuis un an. Concernant l'accompagnement pour votre migration, contactez-nous au 01 75 43 67 97.

Nous allons faire des efforts commerciaux au cas par cas en fonction de l'ancienneté des boutiques pour permettre à tout le monde de migrer vers cette nouvelle version au plus vite, pour votre satisfaction et pour avoir un parc de boutique installées le plus à jour possible, ce qui est le garant de notre image de marque et du sérieux de la solution PEEL.

Gilles

[Micka 0]

Merci pour vos réponse,

J'ai supprimé le compte en question, mais bon, s'il a pu pirater ma boutique une fois, ce n'est pas ça qui va l'empêcher de récidiver...

Concernant le compte FTP je suis relativement serein, j'utilise Cyberduck sur Mac dans un parc informatique bien vérouillé

Pouvez-vous me préciser ;

- que mettre dans le fichier .htaccess ?

- ou placer le fichier .htaccess ?

- quel répertoire dois-je renommer ? une fois le répertoire renommé dois-je modifier un(des) fichier(s) y faisant référence ?

Merci par avance pour votre aide !

[Gilles Boussin 0]

* Dans configuration.inc.php, il y a une section qui doit ressembler à cela :

// Le nom du répertoire d'administration peut être changé ci-dessous,

// mais dans ce cas il faut aussi le changer manuellement dans l'arborescence du site sur le disque dur

$backoffice_directory_name = 'administrer';

Votre version étant ancienne, il y a peut-être d'autres administrer/ à changer, le mieux est de faire une recherche dans le répertoire de votre site sur administrer/ et de modifier ceux que vous trouveriez.

* Dans le .htaccess, ce sujet est strictement lié à votre configuration d'hébergement et au serveur web que vous utilisez. La partie un peu compliquée concerne l'encodage du mot de passe, donc le mieux est d'aller voir des tutoriaux spécialisés sur ce sujet :

Voici ce que j'ai trouvé via Google :

http://www.destrucsaweb.com/ressources/phpmyannu/goto_43.php

http://guide.ovh.com/HtaccessProtection

[Micka 0]

Merci pour vos réponses et votre réactivité.

[ro2kpdp 0]

Bonjour,

Après une petite réflexion il s'agit peut être aussi d'une injection SQL donc même avec tous les htaccess du monde ca n'y fera pas grand chose.

J'ai vu des choses étonnantes !

Car si c'est le cas imaginons les conséquences sur une table articles ou sur votre email PAYPAL.

Donc il est bon de vérifier au minimum tous vos formulaires public et privé (un fois l'utilisateur connecte) et vérifier la présence de ce code dans les pages du backoffice concernées.

necessite_identification();

necessite_priv("admin");

C'est un minimum pour le reste je pense qu'il faut des investigations plus longues et éviter de trop en parler sur un forum ouvert.

Loin de moi l'idée de donner des conseils ....

Cordialement

[Gilles Boussin 0]

Pour des codes promos, une injection SQL me semble être un peu marton pilon, mais ça reste possible.

Pour revenir sur une solution vraiment fiable, la migration vers Premium 5.71 est très fortement conseillée car nous avons refait toute la gestion de la sécurité de l'application, et par ailleurs de nombreuses diverses corrections ont eu lieu depuis la 5.5.

Gilles

[Reloaded 0]

Un fichier htaccess protégera en "amont" les possibilité d'injection SQL mais ne les rendra pas en théorie "impossible". J'avais d'ailleurs signalé il y'a plusieurs mois une faille en ce sens aux équipes "Peel". Elle a apparement été corrigée massivement sur les sites qui étaient en ligne à l'époque et dans les dernieres versions de Peel. Mais ceci n'est pas le principal "défaut" de Peel car malgré le travail effectué, malgré les améliorations annoncées, prendre le pari de baser son activité sur Peel sans un accompagnement solide, sans être soi même developpeur pro est un pari, pas spécialement impossible à relever, très risqué. L'ergonomie, la navigation, le controle des données, la qualité des fonctionnalités de relation clientèle etc, le back office aussi facile à utiliser qu'un tournevis cruciforme pour une vise à tête plate etc...

[Gilles Boussin 0]

Reloaded,

Merci pour cette vision neutre et sympathique : nous avons tenu compte de vos remarques sur la sécurité, et sommes allés bien au delà de nos discussions à ce sujet, et nous avons également corrigés les différents points que vous aviez soulevé.

Je tiens par ailleurs à préciser que les améliorations ne sont pas simplement annoncées mais effectives.

Il y a deux manières à mon sens pour vous de réagir :

- soit être constructif et demander des améliorations, qui pourront permettre l'amélioration du logiciel. Nous sommes sensibles aux critiques et tout le travail que nous fournissons a pour objet de satisfaire l'ensemble de la communauté, notamment les plus exigeants dont vous pouvez faire partie

- soit vouloir critiquer de manière stérile et exprimer sa mauvaise humeur, auquel cas la discussion ne pourra avoir d'intérêt pour vous ni pour moi

Dans le cas de la seconde possibilité, je ne considère que votre participation à ce forum soit justifiée.

Je vous laisse choisir votre voie.

Si vous désirez discuter d'améliorations à effectuer, je vous propose de créer un nouveau sujet pour éviter de parasiter celui-ci, et nous aurons ainsi l'opportunité d'étudier la manière de vous satisfaire au mieux dans la prochaine version de PEEL Premium.