Piratage de Prestashop 1.4

Se faire hacker est-il un signe de reconnaissance?

Mardi 23 Août tous les prestashoppers ont dû recevoir un mail de l’équipe Prestashop pour appliquer un patch afin d’éviter de se faire piller des données. AU moment de la lecture de ce email, je me rendis compte que Prestashop a atteint la maturité et une forme de reconnaissance, qui lui a valu de se faire hacker (par des mafieux?). En tout cas il ne faut pas se réjouir de cette mésaventure:

 

Car forcément le fait de se faire hacker sur Internet signifie qu’il y a des enjeux financiers, donc qu’on a atteint une taille critique qui nous rend crédible (y a qu’à voir avec WordPress….).

 

Mais c’est ennuyeux pour les webmasters

C’est que avec WordPress on a du contenu, mais qu’avec Prestashop ce sont des revenus quotidiens qui sont en jeux et suivant la taille de votre e-commerce, cela peut se chiffre en milliers d’euros, donc, beaucoup plus risqué. L’aspect sécurité est beaucoup plus critique sur Prestashop que sur WordPress à mon humble avis. Et je ne serais pas surpris de voir apparaitre des produits ou service tournant autour de la sécurité autour de la plateforme Prestashop.

Et vous pensez vous que Prestashop commence à craindre et qu’il faut passer vers Magento per exemple ? ou une solution hébergée?

Yvon Huynh

Refschool est un référenceur / développeur full stack, il a commencé à faire du développement de site web, avant de brancher vers le développement web, front end et back end. Il poursuit sa passion de référenceur en bloggant de temps à autres sur le sujet du webmarketing.

Vous aimerez aussi...

19 réponses

  1. Tanguy dit :

    Ce qui est le plus inquiétant c’est que la communauté avait déjà avertis du problème que pouvez apporter le fait de mettre autant de portes ouvertes dans le backoffice de Prestashop pour que la SA Prestashop puisse communiquer tranquillement ses offres.

    Attendons de voire l’attitude de Prestashop vis à vis de se problème car à résoudre un faille on ne calme pas la tempête et les hacker vont de plus en plus se tourner vers cette nouvelle solution.

    • admin dit :

      Ceci va sans reporter la sortie de prestashop 1.5. C’est clair que la priorité maintenant aussi bien que les fonctionnalités, c’est la sécurité de Prestashop et donc de sa crédibilité qui est en jeu.
      Peut être un effet secondaire possible est le report de la gestion des sites Prestashop vers des vrais professionnels et non le faire soi-même. D’ailleurs il y a là un levier marketing intéressant 🙂

  2. Djolhan dit :

    Nous avions (les développeurs indépendant) effectivement averti l’équipe de prestashop à ce sujet, et ils ont toujours fait la sourde oreille, aujourd’hui, ce qu’on a vu apparaitre vis à vis de ce cms n’est que la simple suite logique. D’ailleurs, ils font encore la sourde oreille sur le topic forum dedié à ce problème… M’enfin…

    A trop vouloir mettre de tracker de tous les cotés, à trop énerver et utiliser à mauvais escient la communauté des développeurs, ils fallait bien que cela arrive. Rappel, la faille proviens de leur flux RSS qui a permis au hacker d’injecter des fichiers directement à la racine du ftp et installer un logiciel qui donnait des infos serveur et permettait ainsi de prendre la main sur tous les fichiers…

    Petit exemple de tracking de prestashop (il y en a une dizaine comme celui la)
    faites un test et essayez d’installer un prestashop sans internet, bizarre, vous n’y arriverez pas…Et oui, ils envoient des données depuis votre boutique lors de son install, notamment votre email d’admin et le referrer et ne pas envoyer ces donnés bloque l’install.

    Tout ceci pour transformer petit à petit un projet Open source en projet commercial, fallait bien que ca ajoute des failles un jour. En bref, prestashop est un bon CMS, mais malheureusement les mises à jour ne l’améliore pas forcément, et l’avenir de ce cms est plus qu’incertain à mes yeux.

    • admin dit :

      Il sont vraiment forts ces hacker, et je crains qu’à l’avenir ça ne se complique. C’est en dehors de mes compétences les aspects sécurité. Dommage qu’ils soient plus préoccupé par les rentrées d’argent et délaissent un peu la communauté qui fait sa force.

      • Tanguy dit :

        Je vous rassure, il ne sont pas près d’abandonner la communauté lorsque l’on remarque que 80% des nouvelles fonctionnalités présentes sur la 1.4 viennent de modules créés par la communauté.
        Je crois qu’il ont plus à perdre que les prestataires si ceux ci bascule majoritairement sur une nouvelle plateforme.

        • Djolhan dit :

          Justement, c’est la le problème, l’équipe de dev prestashop se sert des modules créés par les développeurs indépendants pour reproduire les mêmes principes… Et bien entendu, ils s’arrangent ensuite pour faire disparaitre le module du dev dans les abimes de leur store…

          PS: “Vous êtes souscrit à ce biller.” écrit en dessous du textarea des commentaires c’est pas très français tout ca 😉

          • admin dit :

            c’est ce que je constate, les nouvelle fonctions sont en fait existantes dans le modules. Il y a un conflit d’intérêt de fait. Je suis pas contre que Prestashop s’améliore, mais ils doivent avoir un équilibre entre développeurs de modules qui fait la force communautaire de Prestashop et amélioration de Prestashop. je pense que WordPress réussit très bien cet exercice d’équilibre. Ils se concentrent sur les core functions de WordPress tandis que des milliers de dévelopeur inventent des plugins. J’ai rarement vu des plugins WP repris dans le Core de WP. Faut permettre à tout le monde de vivre. Si Prestashop rompt cet équilibre les dev seront découragés et tout le monde sera perdant.

          • Djolhan dit :

            C’est même pire, ils ont une équipe dédiée pour créer des modules et les vendres… En concurrence directe avec nos modules. Sachant, qu’on passe par leur équipe qui va décortiquer notre propre développement avant de valider non sans mal le module proposé, je te laisse imaginer le résultat et le peu d’envie des dev pro de mettre à jour leurs modules.

          • Tanguy dit :

            Je plusoi cette remarque, comment faire confiance à un vendeur qu’en eux même développe le même module juste après.
            Lorsque l’on développe de bon produits qui manque à Prestashop, alors il l’intègre dans leur solution, sans demander le moindre avis. Lorsque l’on développe un petit module pour satisfaire le besoin d’un client hop le même sort dans le mois.
            Ils ont raison au lieu des 30% sur la vente d’un module google +1 il prenne 100%.
            Comment se motiver .. simplement en amenant les clients à acheter chez nous plutôt que sur le store tout simplement, j’ai moi même mis en place un petit concurrent du store mais beaucoup de développeur et de designer on refusés de me suivre, c’est dommage.

          • admin dit :

            persévère, je pense qu’une boutique indépendante a de l’avenir. Si tu propose des conditions plus intéressantes… qu’est ce qui les empêche de venir sur ton site? un accord d’exclusivité avec Prestashop?

          • Tanguy dit :

            C’est juste que c’est moi et que cela dérange certains de diluer dans ma poche leur marge, après je n’oblige personne mais je trouve que c’est dommage de ne pas avoir suivi sur le principe. Mais c’est une longue histoire avec expulsion d’un canal irc et des désaccords soit disant sur un vol d’idée que j’avais amené et que personne ne voulais prendre à sa charge, je l’ai fait, on m’a fermé la porte, c’est pas plus compliqué que cela.
            Prestatools.com apporte une solution intermédiaire intéressante pour tous les dév.

          • admin dit :

            bah les idées j’en ai des tonnes LOL, a quoi çà sert si on ne les applique pas? Ma dernière idée GammaSeotools

          • admin dit :

            Disc donc tu m’en apprends des choses :). Là c’est même pire que l’Appstore, puisque qu’ils vont voir le code de vos modules (m’enfin c’est pas difficile mais l’esprit est là). Je ne dirais pas concurrence déloyale mais presque. Ce qui est d’autant plus étonnant que Prestashop est très modulaire donc ouvert, ça semble être fait pour que tout le monde y contribue et puis non…
            Mais bon s’ils vérifient le code c’est justement pour pas qu’il y ait de malware dedans non?

          • Djolhan dit :

            Oui, ca évite les malware, mais ca leur permet aussi de controler ce qu’ils veulent accepter ou non…

            J’ai vu un de mes modules refusé sur une version 1.3 parcequ’un dev n’avait pas bien lu le tutorial d’installation… (sois disant)

            @tanguy : C’est une bonne idée, dans le fond, malheureusement, les dev ont pas mal été refroidit par prestastore, et préfèrent partir chacun de leur coté, comme nous l’avons fait d’ailleurs dans notre agence.

  3. ZenSoul dit :

    “les mises à jour ne l’améliore pas forcémen”

    J’abonde en ce sens, c’est un peu n’importe quoi les mise à jour, il y en trop, c’est pire que tout, faut suivre…par quoi est dicté cette fréquence de sprinteur dans les releases? il faut privilégier la stabilité, j’ai longtemps hésité avant de passer à la 1.4 et qu’est ce qu’on apprend cette semaine? que la 1.4 est afectée par la faille pas la 1.3.5 j’aurais mieu fait de rester en 1.3 !

    • admin dit :

      Magento avait segmenté en plusieurs version très tôt une entreprise et une community. C’est peut être une voie à suivre aussi pour Prestashop. Je ne sais pas quelle est leur stratégie car ils mettent les bouchée double pourintégerer le maximum de fonctions, peut être au détriment de la stabilité, des bugs dans le BO existent. Et oui il faut suivre par exemple le htaccess de la 1.4 n’a rien à voir avec la 1.3. Je note cependant des progrès dans les url (surtout pour les images 🙂 )

  4. Moi qui recherchais un article d’information sur prestashop pour l’installer sur mon blog…
    Ca ne rassure pas…
    Bonne continuation!

  5. C’est malheureusement ce qui arrive quand on prend du poids sur Internet

  6. Coco dit :

    Puisque rien n’a jamais été fait depuis la création d’Internet, ce genre de choses est inévitable, en gros. C’est trop tard désormais…