Jean-Loup Richet, chercheur en cybercriminalité.

Antoine Cervoise, chercheur en sécurité informatique

Le logiciel osCommerce est l’un des ténors du marché des CMS open source, avec plus de 12500 e-boutiques dans le monde entier. Ses clients sont plutôt des entrepreneurs et des TPE/PME, sur des marchés très divers : des produits de beauté au bricolage, en passant par la téléphonie et la bijouterie. Un large éventail de propriétaires d’e-boutiques, avec une culture IT plus ou moins grande ; et si la majorité des clients sont sensible à la facilité avec laquelle ils créent un commerce en ligne, peu ont été sensibilisé à la SSI… Les néophytes en informatique constituent des proies de prédilections pour les hackers, et bon nombre de clients d’osCommerce n’ont pas dérogé à cette règle. Pour se prémunir de cette attaque, il suffisait simplement de mettre en place un fichier .htaccess à la racine du site et d’avoir une version d’osCommerce à jour.

– L’attaque en détails :

Trois failles de sécurité du CMS osCommerce sont exploitées afin de réaliser cette attaque, mais il en suffit d’une seule pour injecter le code malveillant. Les deux premières vulnérabilités concernent chacune une ancienne version d’osCommerce, la dernière cependant touche un grand nombre de version du CMS.

Une fois les failles exploitées, du code HTML et JavaScript est injecté directement dans les pages de la boutique en ligne. Ce code tente d’utiliser différentes failles au sein du navigateur afin d’installer une charge virale. Il s’agit de deux vulnérabilités Microsoft, deux Java et une Adobe, ces vulnérabilités étant connues et corrigées par les éditeurs (les codes d’exploitations sont disponibles sur internet). Le point étonnant dans le choix de ces failles, c’est que l’une d’entre elles date de 2006. D’après TrendMicro il s’agirait d’un malware qui effectue une recherche dans le cache Internet, les cookies et l’historique de navigation afin de voler des identifiants et autres informations concernant des sites bancaires ou institutions financières.

Pour les administrateurs d’osCommerce il est primordial de vérifier l’intégrité de leurs sites en recherchant du code injecté au sein de leurs pages, de protéger l’accès au dossier d’administration et de migrer en dernière version disponible. En cas de compromission, il est nécessaire de réinstaller le serveur et osCommerce à jour sur la base d’une sauvegarde saine, et de changer les identifiants d’administration .

Pour les utilisateurs, il est recommandé d’utiliser un antivirus à jour.

Ces actions de sécurisation sont certes classiques, mais l’ampleur de l’attaque nous prouve qu’elles sont loin d’être entrées dans les mœurs. Mettre à jour les logiciels, sécuriser les accès admin, voire faire des sauvegardes fréquentes sont autant de réflexes qui sont loin d’être acquis ; mais est-ce aux équipes d’osCommerce de le rappeler aux clients du logiciel ? Nous conclurons en citant un extrait de l’ouvrage de Bruce Schneier, Secrets et Mensonges, Sécurité Numérique dans un Monde en Réseau : "Les mathématiques sont impeccables, les ordinateurs faillibles, les réseaux médiocres et les gens pires que tout". En dépit des progrès de l’informatique et des nouvelles solutions ‘clefs en main’ qui permettent de réduire les barrières à l’entrée du monde informatique , l’utilisateur restera le maillon faible tant que les entreprises (de toutes tailles, PME comme grands groupes) ne mettront pas en œuvres des actions de sensibilisation et formation à la sécurité du SI.

1 Une autre action recommandée, plus technique cette fois-ci, serait de bloquer et de surveiller les domaines et les adresses IP utilisés par les attaquants.

2 Par exemple, le Cloud Computing et les business models de type SaaS : gérer une newsletter de milliers de personnes sans avoir besoin de connaitre une once de management de serveurs mails, maintenance, etc.