HTTPCSLeader européen de la cyber sécurité

Qu'est-ce que magento ?


Logo Magento

Magento est une solution de gestion de contenu dédiée au site e-commerce. Créé en 2008 par la société américaine Varien, Magento est développé de manière Open Source. Très prisé des e-commerçants pour la richesse des fonctionnalités natives qu’il propose, ce dernier est devenu le leader mondial sur son marché. Doté d’une ergonomie simple et intuitive, Magento ne nécessite pas de connaissance technique particulière pour être utilisé. Le point fort de cette solution est sa capacité à évoluer dans le temps. En effet, elle vous permettra de passer d’une boutique en ligne simple et basique, à des projets plus ambitieux et complexes, simplement en le faisant évoluer au fil des années et sans avoir à changer d’outil.
Tout comme ses concurrents, il est possible de développer des plugins sans être nécessairement un professionnel du développement. Ces derniers sont disponibles sur le « market place » de Magento. Des thèmes sont également disponibles au téléchargement si vous souhaitez modifier l'apparence de votre interface.


Quels sont les risques ?


Avec plus de 800 000 développeurs, Magento est le CMS qui a la communauté la plus importante et la plus active. Régulièrement des plugins et des extensions sont développés, permettant ainsi de mettre en place, facilement et à moindre coût, de nouvelles fonctionnalités sur votre site marchand. Ces derniers, sont développés par la communauté mais ne sont pas toujours vérifiés par des professionnels. Il se peut qu’ils contiennent des vulnérabilités qui pourraient mettre en péril la disponibilité de votre site et l’intégrité de vos données.

En avril 2017, des chercheurs ont découvert une vulnérabilité permettant de télécharger et d’exécuter du code malveillant sur un serveur hébergeant une boutique e-commerce. Avec Magento, il est possible d’ajouter des vidéos et des images en tant que miniature dans la liste des produits. C’est à l'intérieur de la fonction qui permet de récupérer les images et vidéos que se trouve la vulnérabilité. Les chercheurs ont constaté qu’en faisant pointer la source de l’image vers un autre type de fichier (PHP par exemple), ce dernier est téléchargé afin d’être validé. Si l’outil constate que le fichier n’est pas une image, une erreur sera renvoyée mais le fichier ne sera pas supprimé. Le fichier étant sur le serveur, il peut maintenant servir de backdoor. Un hacker pourrait s’en servir pour naviguer sur le serveur, avoir accès à des fichiers de configuration et récupérer les données relatives à la connexion de la base de données du site. Les conséquences pourraient être désastreuses car toutes les informations concernant la clientèle seraient compromises et les coordonnées bancaires pourraient, par exemple, être revendues sur le darknet.


Pourquoi choisir notre solution ?


Les experts HTTPCS ont développé un plugin permettant d’identifier et valider son site afin qu’il soit analysé par la technologie de détection de vulnérabilités. Conscient de l’impact causé par les vulnérabilités présentes dans les CMS, notre outil vous permettra d’assurer la sécurité de votre site malgré les multiples mise à jour des thèmes, des plugins et du logiciel lui-même. N’attendez pas d’être victime d’une attaque pour protéger votre site internet. Adoptez une démarche proactive en utilisant la technologie HTTPCS.


Notre plugin « HTTPCS Validation » est disponible gratuitement sur le « market place » mis à disposition par le CMS. Une fois installé vous devrez renseigner quelques informations concernant vos coordonnées. Le plugin va créer un fichier unique dans l’arborescence de votre CMS permettant au service HTTPCS de valider votre site. Ce fichier d’identification est indispensable à notre technologie. Sans ce dernier, vous ne pourrez pas lancer le scanner de vulnérabilité.


Télécharger l'extension