Le e-commerce, une cible de choix

Cible d'attaquesLes sites de e-commerce représentent une cible très attirante pour les hackers. D’une part, ils peuvent gagner de l’argent en interceptant des paiements (remplacement d’une page de paiement, fraude à la carte bancaire…). D’autre part, ces sites sont des mines d’informations monétisables. Données clients (notamment bancaires), mais également données sur les employés, catalogues, secrets de fabrication… Car il ne faut pas oublier que dans certains cas, accéder au serveur d’un site peut permettre d’accéder au réseau interne de l’entreprise. Les hackers peuvent également faire tomber les sites pour porter atteinte à leur image de marque.

Pour cela, les vecteurs sont multiples : phishing, DDos, social engineering, ransomware… ou simple exploitation de vulnérabilités présentes sur un site.

Bien entendu, de nombreux sites (hors e-commerce) sont susceptibles d’être attaqués pour le même genre d’information ; tout s’achète sur le dark web. Mais les chiffres sont là : en 2014, les applications e-commerce sont celles qui ont subi le plus d’attaques. Elles sont notamment la cible de 40% des injections SQL, et de 64% des campagnes de trafic http malveillant 1. Elles sont également parmi les victimes privilégiées des attaques suivantes : RAM scraping (récupération de données en RAM, une attaque qui a causé des fuites de données majeures en 2014), contrefaçon de cartes bancaires, crimeware, DDoS, intrusion dans les points de vente (PoS ou Point of Sales) 2

De nombreux types d’attaques, donc, qui mènent notamment à des fuites de données. Au premier semestre de 2015, le e-commerce était la troisième activité ayant subi le plus d’incidents de sécurité derrière la santé et la finance. Elle n’est que quatrième en nombre de données volées, mais ce nombre a subi une augmentation de 98% par rapport au premier semestre 2013 3

Sécurisation MagentoOn l’entend donc partout, mais c’est vrai : le nombre d’attaques augmente, les attaques ciblées sur le e-commerce aussi. Ce n’est pas qu’un effet de médiatisation ! Pourtant, plus d’un site de e-commerce sur deux ne protège pas assez les données personnelles de leurs visiteurs 4Dans ce cadre, il devient de plus en plus important pour les sites de e-commerce de se protéger. NBS System, en tant que leader en France sur l’hébergement et l’infogérance Magento, vous donne aujourd’hui ses conseils de sécurisation sur les plateformes Magento.

Sécuriser Magento

Voici donc une liste des points auxquels faire attention pour assurer la sécurité de votre site Magento.

Les points « client »

  • mot de passe iconeDéveloppez et utilisez une politique de mots de passe forts, que vous changez tous les 3 mois
  • Forcez l’utilisation de mots de passe sensibles à la casse sur votre site
  • Limitez le nombre maximal de tentatives de connexions ratées
  • Désactivez la récupération du mot de passe par mail
  • Utilisez des extensions Magento auditées. Beaucoup des plugins existants ne sont pas approuvés par Magento, car non sécurisés.
  • Faites une revue de sécurité sur votre site
  • N’affichez pas les versions des logiciels et solutions que vous utilisez, et surtout maintenez-les à jour ! Passez notamment sur les versions 5.5, 5.6 et 5.7 de PHP : les anciennes versions ne reçoivent plus de correctifs de sécurité.
  • Maintenez-vous informés des vulnérabilités de l’écosystème Magento, et des solutions que vous utilisez
  • Utilisez HTTPS sur votre backoffice et sur les tunnels de conversion via des certificats SSL
  • Ne gardez, en base de données, que des informations absolument nécessaires à l’exploitation du site
  • Utilisez le 3D secure, le mode débrayable permet d’avoir très peu de perte de client et aide beaucoup
  • Choisissez un hébergeur certifié PCI-DSS
  • Vérifiez votre site sur www.magereport.com

3d human carry a big tool in handsLes points « hébergeur »

Ces points sont à mettre en place avec votre hébergeur.

  • Réalisez un backup quotidien
  • Utilisez un WAF (Web Application Firewall) comme NAXSI par exemple
  • Mettez une limite de débit / requête par IP sur vos reverse proxies
  • Filtrez le trafic sortant
  • Changez l’URL par défaut de votre back office
  • Filtrez le back office (par IP ou .htaccess) : permet d’éviter l’exploitation de failles éventuelles dans ce dernier
  • Désactivez l’indexation des dossiers
  • Ne mettez pas d’index sur votre environnement de pré-production
  • Ayez les bonnes permissions : file=644, directory=755
  • Ne laissez pas vos logs accessibles (notamment ceux du portail de paiement !)
  • Connectez vous en SSH / SFTP par clefs et pas par mot de passe
  • Ne laissez que les ports nécessaires ouverts (en général HTTP/HTTPS) et filtrez les autres par IP
  • Ajustez vos paramètres PHP.ini : si certains modules demandent des modifications, assurez vous que celles-ci ne posent pas de risque. Utilisez si possible Suhosin et pensez a utiliser la fonctionnalité des fonctions interdites (bien que cela n’empêche pas l’exploitation, cela peut complexifier la tâche post-exploitation de l’attaquant et faire rater certaines attaques automatisées)

La veille de sécurité, une nécessité

AuditEn parallèle d’une configuration sécurisée, il est vital de se maintenir informé des dernières actualités des solutions et logiciels utilisés sur vos environnements. En 2015, Magento a divulgué beaucoup de vulnérabilités trouvées sur la plateforme : Shoplift, la faille sur le plugin Magmi, les SUPEE 6285 et 5994, de nombreuses vulnérabilités XSS… Ces derniers mois, c’est même un ransomware ciblant spécifiquement Magento qui circule : Kimciware. Il chiffre les fichiers présents sur le serveur afin qu’ils ne soient plus utilisables par le site ou ses administrateurs, qui doivent payer une rançon pour retrouver leur usage. Suivre ces actualités vous permet d’appliquer les correctifs au plus vite, pour limiter les risques d’exploitation des vulnérabilités.

Mais il ne faut pas pour autant oublier de garder l’œil ouvert pour repérer des vulnérabilités de plus grande ampleur également, comme on en a également vu beaucoup ces derniers temps : Heartbleed, Logjam, Shellshock, Venom, Ghost

Les pirates sont toujours en quête de nouvelles attaques et de nouveaux exploits : les sites doivent donc être sur le qui-vive constamment pour ne pas se laisser dépasser. La sécurité est un sujet permanent !

1. Web Application Attack Report #5, octobre 2014, Imperva, 
2. 2015 Data Breach Investigations report, Verizon
3
. 2015 First Half Review, Findings from the Breach level index, Gemalto
4
. 3ème baromètre de Sécurité Dashlane, janvier 2016

D’après une présentation de Philippe Humeau

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.