Magento : les commerçants sous la menace d’un faux correctif

Bien connu dans le secteur du commerce électronique, Magento propose une solution logicielle dédiée à l’activité des e-commerçants. Seulement, un correctif malveillant est actuellement disponible sur la Toile et son téléchargement pourrait rendre très vulnérable de nombreuses boutiques en ligne.

Une faille Shoplift Bug à l’origine des problèmes rencontrés par Magento

Au début de l’année 2015, plusieurs experts en sécurité découvraient une faille Shoplift Bug dans le logiciel de création de boutiques en ligne développé par Magento. L’éditeur ne tardait alors pas à réagir et proposait un correctif pour combler cette vulnérabilité.

Seulement voilà, les mois ont passé et beaucoup d’utilisateurs n’ont toujours pas télécharger ce correctif s’exposant ainsi à de possibles attaques de pirates.

Si la faille disponible au sein du logiciel développé par l’ex-filiale d’eBay a été exploitée, un accès administrateur à la boutique en ligne a pu être débloqué ce qui implique potentiellement de lourdes conséquences.

Cela laisse effectivement les mains libres aux pirates pour créer de nouveaux comptes administrateur et opérer bien tranquillement sans que le propriétaire de la boutique en ligne ne soit trop méfiant.

Un faux correctif circule désormais sur la Toile

Etant donné que de nombreux utilisateurs de Magento n’ont jamais colmaté la faille présente dans le logiciel, des petits « malins » ont eu l’idée de créer un faux correctif qui est « vendu » comme un kit permettant de résoudre les problèmes connus par le logiciel de gestion de boutiques en ligne.

Si les utilisateurs le téléchargent, ils permettent aux pirates d’intégrer leur boutique en ligne et leur donnent la possibilité d’injecter du code malveillant, code qui pourrait leur permettre de récupérer des données sur les cartes de paiement par exemple.

Aussi, le chercheur en sécurité Denis Sinegubko recommande à l’ensemble des utilisateurs des solutions Magento de mettre à jour leur boutique afin de passer à la dernière version, de vérifier les comptes d’administration de la boutique et de modifier les mots de passe.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*