En premier lieu, merci de vos retours. Nos services travaillent tous les jours à la sécurité de nos clients mais vos idées et propositions sont toujours les bienvenues.

De plus, les informations que nous découvrons et qui nous sont remontées montrent que ce n’est pas seulement Magento qui est touché mais d’autres framework également, ainsi que d’autres lieux où des paiements sont effectués sans chiffrement des échanges avec le serveur. Donc au delà de la version Magento / PayPal, on peut trouver des mélanges PayPal et autres softs ou autres softs et autres gateway de paiement.

Les vérifications sont très simples à mener avec BURP, intercepter le trafic sortant de votre navigateur et vérifiez si les paramètres sont lisibles et modifiables ou non. Dans le doute, notre cellule de sécurité pourra vous y aider, n’hésitez pas à prendre contact avec nos services.

Voici quelques compléments de ce que nous avions publié, des informations proposées par les partenaires et clients de NBS System.

La vérification Manuelle

Aussi appelée « rapprochement bancaire » dans les business traditionnels, cette méthode  consiste tout simplement à comparer les montants payés réellement arrivés sur le compte à ceux qui sont dûs, avant l’envoi des produits. Old school, certes, mais très efficace.

La Notification Instantanée de Paiement (IPN)

PayPal propose un service permettant de notifier le site d’une transaction en incluant les détails nécessaires. Cette méthode, correctement implémentée, permet de mitiger la faille PayPal / Magento en intégrant un contrôle automatisable, notamment pour les sites traitants les commandes de manière automatisée.

https://www.paypal.com/fr/cgi-bin/webscr?cmd=p/acc/ipn-info-outside

Le correctif détaillé proposé par l’Agence DND

L’agence DnD avait déjà travaillé avec nos services à l’élaboration du correctif, elle propose aujourd’hui un complément d’information avec un patch complet à cette adresse : http://www.dnd.fr/2012/04/correctif-faille-paypal-magento-patch-magento-paypal-vulnerability/