HTTPCSLeader européen de la cyber sécurité

Qu'est-ce que magento ?


Logo Magento

Magento est un outil de gestion de contenu dédié aux sites e-commerce. Créé en 2008 par la société américaine Varien, Magento est développé en Open Source. Très prisé des e-commerçants pour la richesse des fonctionnalités natives qu’il propose, ce dernier est devenu le leader mondial sur son marché. Doté d’une ergonomie simple et intuitive, Magento ne nécessite pas de connaissance technique particulière pour être utilisé. Le point fort de ce dernier est sa capacité à évoluer dans le temps. En effet, il vous permettra de passer d’une boutique en ligne simple et basique, à des projets plus ambitieux et complexes, simplement en le faisant évoluer au fil des années et sans avoir à changer d’outil.
Tout comme avec ses concurrents, il est possible de développer des plugins sans être nécessairement un professionnel du développement. Ces derniers sont disponibles sur la « marketplace » de Magento. Des thèmes sont également téléchargeables, si vous souhaitez modifier l'apparence de votre interface.


Quels sont les risques ?


Avec plus de 800 000 développeurs, Magento est le CMS qui a la communauté la plus importante et la plus active. Régulièrement des plugins et des extensions sont développés, permettant ainsi de mettre en place, facilement et à moindre coût, de nouvelles fonctionnalités sur votre site marchand. Ces derniers, sont développés par la communauté mais ne sont pas toujours vérifiés par des professionnels. Il se peut qu’ils contiennent des vulnérabilités qui pourraient mettre en péril la disponibilité de votre site et l’intégrité de vos données.

En avril 2017, des chercheurs ont découvert une vulnérabilité permettant de télécharger et d’exécuter du code malveillant sur un serveur hébergeant une boutique e-commerce. Avec Magento, il est possible d’ajouter des vidéos et des images en tant que miniatures dans la liste des produits. C’est à l'intérieur de la fonction qui permet de récupérer les images et vidéos que se trouve la vulnérabilité. Les chercheurs ont constaté qu’en faisant pointer la source de l’image vers un autre type de fichier (PHP par exemple), ce dernier était téléchargé afin d’être validé. Si l’outil constate que le fichier n’est pas une image, une erreur sera renvoyée mais le fichier ne sera pas supprimé. Le fichier étant sur le serveur, il peut maintenant servir de backdoor. Un hacker pourrait s’en servir pour naviguer sur le serveur, avoir accès à des fichiers de configuration et récupérer les identifiants relatifs à la connexion de la base de données du site. Les conséquences pourraient être désastreuses car toutes les informations concernant la clientèle seraient alors compromises et les coordonnées bancaires pourraient, par exemple, être revendues sur le darknet.


Pourquoi choisir notre solution ?


Les experts HTTPCS ont développé un plugin permettant d’identifier et valider son site afin qu’il soit analysé par la technologie de détection de vulnérabilités. Conscient de l’impact causé par les vulnérabilités présentes dans les CMS, notre outil vous permettra d’assurer la sécurité de votre site malgré les multiples mises à jour des thèmes, des plugins et du logiciel lui-même. N’attendez pas d’être victime d’une attaque pour protéger votre site internet. Adoptez une démarche proactive en utilisant la technologie HTTPCS.


Le plugin « HTTPCS Validation » est disponible gratuitement sur la « marketplace » de votre CMS. Une fois celui-ci installé, vous devrez renseigner vos coordonnées. Le plugin va créer un fichier unique d’identification dans votre CMS permettant à HTTPCS de valider votre site. Cette étape obligatoire vous permettra notamment d’utiliser le scanner de vulnérabilité inclus dans la solution HTTPCS SÉCURITÉ.


Télécharger l'extension