Minor exploit – Faille de sécurité live_edit=1 avec Prestashop

Posté le 13 novembre 2014 by

Problème live_edit Prestashop

    Il existe une fonction de Prestashop permettant de réorganiser visuellement le Front-Office de sa boutique, c’est le Live Edit. Néanmoins, cette fonctionnalité fait l’objet d’une faille mineure dans la sécurité de Prestashop, faille mineure, mais à l’exposition forte du fait de l’indexation de pages sensibles par les moteurs de recherche. Regardons ensemble en quoi consiste ce problème de Prestashop.

Détection du problème:

    Si vous êtes sur une version de Prestashop supérieure 1.4.x , il se peut que votre site soit sous une réelle menace d’une faille liée à cette fonction Live Edit. Le bug est toujours présent dans la version 1.6.0.9

Voici une méthode fiable pour le vérifier :

  • Se connecter à l’administration de sa boutique
  • Aller dans le menu Modules / Positions et lancer le Live Edit
  • Revenez sur la page d’administration et déconnectez vous
  • Actualisez la page du Live Edit. Si la page est toujours visible alors potentiellement les moteurs de recherche peuvent l’indexer. Puis, si lorsque vous naviguez sur la page et que le Live Edit reste actif (c’est le cas avec les versions de Presashop supérieures à la 1.5.1), la probabilité de diffusion de l’adresse privée du Live Edit augmente.

    Cependant, la pire des choses qui puisse arriver à votre site, c’est de voir cette page indexée sur la toile. Effectivement, google a indexé près de 500 sites (et 4000 pages) Prestashop qui ont le malheur de voir leur page Live Edit disponible lorsque l’on rentre une commande magique sur google :

‘inurl:live_edit=1’

search

Pour vérifier que votre site ne contient pas de page Live Edit disponible sur internet vous pouvez réaliser une première vérification (non exhaustive) avec google: tapez : ‘inurl:live_edit=1 site:votresite.com’.

    Vous verrez alors apparaître votre site dans son mode Live Edit et observerez qu’il y a la présence du nom de votre dossier ‘admin’ dans l’url.

Danger Live_edit

Comment votre page URL s’est-elle retrouvée sur internet ?

Il y a plusieurs manières de rendre public des pages sur le net sans même s’en rendre compte

Peut-être avez-vous:

  • Posé une question sur un forum avec l’URL en question ?
  • Copié collé votre URL dans une barre de recherche ?
  • Posé la question par e-mail à votre webmaster ?
  • utilisé un serveur Proxy corrompu ou qui indexe les URLs ?
  • un spyware ou une barre d’outil non sécurisée d’installé(e)(s) sur votre poste ?
  • un antivirus corrompu ou qui indexe les URLs contrôlées ?

Tous ces facteurs permettent aux moteurs de recherche d’indexer vos pages sur la toile.

La faille est-elle exploitable ?

    Il faut savoir que dans l’informatique, chaque faille, aussi infime soit-elle, peut être exploitable. Cependant, cette faille n’est pas légère puisqu’elle permet l’accès au nom du dossier d’administration de votre boutique en ligne.

Pour rappel, si l’on tape dans une barre de recherche ‘www.votresite.com/dossierAdmin’, cela nous redirigera vers le Back-Office de votre Prestashop. Est-il nécessaire de préciser que l’accès au Back-Office permet l’accès à vos produits, vos prix ainsi que de vos modes de paiement ? De plus, les hackers ne se contentent plus de “défigurer” les sites internet, ils conservent les accès et volent les données pour les exploiter.

Bien entendu, il restera encore au pirate à trouver votre identifiant (souvent une adresse email de la boutique ?) ainsi que votre mot de passe,  mais ne vous contentez pas de si peu.

Comment le corriger ?

    Tout d’abord, si vous avez été exposé à ce problème, il faut absolument renommer votre dossier admin. Vous le trouverez à la racine de votre dossier Prestashop. Nous vous recommandons également de mettre en place une stratégie de sécurité autour de votre mot de passe en le renouvelant régulièrement et en utilisant un mot de passe suffisamment complexe.

    Ensuite, installez notre patch, configurez les adresses IP de maintenance de la boutique, celles-ci auront accès à votre site en Live Edit et le tour est joué ! Les autres utilisateurs (visiteurs et robots d’indexation) seront directement redirigés vers la page d’accueil de votre boutique si ils accèdent à une page Live Edit, que ce soit par erreur ou via une page référencée par google. Une fois cette procédure réalisée, réalisez une inspection de votre poste de travail, et naviguez précautionneusement dans le mode Live Edit (vous pouvez par exemple utiliser un navigateur dédié libre de toute extension).