Comme vous le savez, il n’a jamais été aussi facile de mettre en place une boutique en ligne, d’autant plus qu’il existe des dizaines de solutions disponibles et gratuites que vous trouvez sur Internet, ou même prêtes à être installées sur certains serveurs. Le problème commence lorsque vous arrêtez de mettre à jour le système et il vous rend vulnérable aux failles de sécurité que les mises à jour ont permis de corriger. Et c’est ce qui s’est passé récemment avec le osCommerce.
Selon une analyse du blog Armorize, au moins 3 millions de magasins différents avec d’anciennes versions d’osCommerce (système open-source de création de magasins en ligne) pourraient avoir été attaqués à partir d’au moins trois vulnérabilités connues de la version 2.2 du système. Ces vulnérabilités ont permis aux attaquants d’accéder aux paramètres de l’interface du magasin, et d’injecter du code malveillant dans la mise en page, contenant un iFrame et du code JavaScript.
Il hante également la rapidité avec laquelle les attaques se sont multipliées. De près de 90 000 urls que Google affichait lorsque l’attaque a été découverte pour la première fois, le nombre est passé rapidement à plus de 3 800 000 une semaine plus tard. Il convient de noter que Google renvoie parfois quelques URL du même magasin, mais ce nombre reste très élevé.
Comme toujours, la maxime que tout bon administrateur système connaît dans sa tête vaut le coup : il ne sert à rien d’installer un système si vous conservez plusieurs paramètres par défaut (comme les mots de passe et les ports d’accès) et encore moins si vous ne faites pas les mises à jour de sécurité nécessaires.
Si vous gérez une boutique en ligne utilisant le commerce électronique, vous pouvez télécharger la dernière version disponible sur le site web du projet, qui contient tous les correctifs de sécurité jusqu’à présent. Si vous avez une boutique en ligne gérée par votre serveur ou par un tiers, assurez-vous qu’ils utilisent la version la plus récente possible. Et, au fait, faites ça toujours.
