IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Une faille dans la boutique en ligne d'Acer a permis aux pirates d'accéder à des informations utilisateurs


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 103
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 103
    Points : 209 937
    Points
    209 937
    Par défaut Une faille dans la boutique en ligne d'Acer a permis aux pirates d'accéder à des informations utilisateurs
    Une faille dans la boutique en ligne d'Acer a permis aux pirates d'accéder à des informations utilisateurs,
    pendant près d'un an

    Le constructeur ACER a discrètement informé le procureur général de Californie que sa boutique en ligne a été attaquée par des pirates.

    Dans une lettre adressée aux clients et qui est disponible sur le site State of California Department of Justice Office of the Attorney General, le Taïwanais a reconnu que « nous avons récemment un problème de sécurité impliquant les informations de certains clients qui ont utilisé notre site de e-commerce entre le 12 mai 2015 et le 28 avril 2016, qui a abouti à un accès non autorisé par un tiers ».

    De quelles informations s’agit-il ? Dans la lettre qui a été envoyée aux utilisateurs américains qui en ont été victime, Mark Groveunder Vice President du Customer Service d’Acer Service Corporation a déclaré que « sur la base de nos archives, nous avons déterminé que vos informations peuvent avoir été touchées, ces informations concernent potentiellement votre nom, adresse, numéro de carte se terminant par [insérer], la date d'expiration ainsi que les codes de sécurité à trois chiffres. Nous n’enregistrons pas les numéros de sécurité sociale, et nous n’avons pas identifié de preuves indiquant que le mot de passe ou les informations de connexion ont été touchés ».

    Comme de nombreux sites de e-commerce, ACER se sert du CMS Magento, une solution bien connue dans le domaine du commerce électronique libre dans la mesure où la solution propose des fonctionnalités comme les outils de marketing et promotions, la gestion de son site, la gestion des commandes, un service client, la gestion du catalogue de produits (qu'ils soient physiques ou virtuels) et même une version sur mobile.

    En début février 2015, l'équipe derrière la solution a déployé un correctif de sécurité ; SUPEE-5344 venait corriger une faille qui aurait permis à des attaquants de subtiliser les données relatives aux cartes de paiement ainsi qu'aux informations sur les clients.

    « L'anatomie des hacks attribués à la vulnérabilité a permis aux pirates de créer des utilisateurs de type administrateurs dans l'application Magento. Ensuite, ils ont ajouté du JavaScript aux fichiers, leur permettant ainsi de soutirer des informations de paiement directement depuis les formulaires de commandes ou, dans certains cas, ils ont modifié une série de fichiers PHP qui diffusent des informations durant la phase du traitement des paiements. Indépendamment de la technique employée, les résultats étaient les mêmes : les hackers ont volé des informations relatives aux cartes de crédit et les ont siphonnées. Raison pour laquelle SUPEE-5344 est le correctif le plus important qui devrait être appliqué à toutes les versions de Magento publiées avant février 2015 », a averti Denis Sinegubko, Senior Malware Researcher pour le compte de Sucuri.

    Pourtant, selon l'expert en sécurité Sucuri, en avril 2015 plus de la moitié des sites se servant de la solution e-commerce d'eBay étaient encore vulnérables, car n'avaient pas appliqué le correctif de sécurité. « La vulnérabilité que nous avons découverte représente une menace significative non pas pour un seul store, mais pour toutes les marques qui se servent de la plateforme Magento pour leurs vitrines en ligne - qui représente près de 30 % du marché de l'e-commerce », avait prévenu Shahar Tal, Malware and Vulnerability Research Manager pour le compte de Check Point. L'adoption du correctif s'est donc avérée très lente.

    Un an plus tard, nombreux sont les sites qui n'ont pas été mis à jour, pour le plus grand bonheur des pirates qui ont opté pour proposer aux propriétaires de sites de télécharger une mise à jour factice SUPEE-5344. « À cause de la sévérité de la vulnérabilité, de nombreux pirates savent à quel point ce correctif est important et certains ont même essayé de le greffer », a remarqué Sucuri.

    Si ACER ne donne pas d’indication sur la brèche qui a permis de collecter « potentiellement » ces informations, l’une des pistes à explorer reste donc cette brèche dans Magento à cause de la période, mais également de la nature des informations. Quoi qu’il en soit, ACER affirme avoir pris immédiatement des mesures après avoir découvert cette intrusion pour y remédier. L’entreprise assure d’ailleurs être épaulée par des experts en cybersécurité dans cette tâche. Elle a également reporté ce problème à son processeur de paiement par carte de crédit en plus d’avoir contacté et offert son entière coopération aux forces de l’ordre.

    Source : lettre aux utilisateurs (au format PDF)

    Voir aussi :

    Les sites web basés sur le CMS Magento ont été victimes d'attaques massives, rapportent les experts en sécurité de Sucuri

    Des attaquants se servent d'un faux correctif sur les sites e-commerce Magento pour pirater des boutiques en ligne

    le forum sécurité web

  2. #2
    Inactif  

    Homme Profil pro
    NR
    Inscrit en
    Juin 2013
    Messages
    3 715
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : NR
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2013
    Messages : 3 715
    Points : 1 187
    Points
    1 187
    Billets dans le blog
    9
    Par défaut
    Je comprend pas pourquoi ils stockent les numéros de carte !

    A chaque fois que je paye sur internet, je préfère insérer mon numéro à chaque fois plutôt que de les sauvegarder.

  3. #3
    Nouveau Candidat au Club
    Homme Profil pro
    .
    Inscrit en
    Mai 2015
    Messages
    589
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Angola

    Informations professionnelles :
    Activité : .

    Informations forums :
    Inscription : Mai 2015
    Messages : 589
    Points : 0
    Points
    0
    Par défaut
    Je comprend pas pourquoi ils stockent les numéros de carte !
    Tout a fait d'accord. Perso je prend une MasterCard pre-payée et la recharge du montant de l'achat avant de faire la transaction... pas de surprises

Discussions similaires

  1. Réponses: 25
    Dernier message: 27/01/2010, 13h43
  2. Réponses: 36
    Dernier message: 15/10/2009, 15h24
  3. Linux : Une faille dans le nouveau noyau 2.6.31
    Par ovh dans le forum Administration système
    Réponses: 20
    Dernier message: 23/09/2009, 14h48
  4. Linux : Une faille dans le nouveau noyau 2.6.31
    Par ovh dans le forum Actualités
    Réponses: 0
    Dernier message: 22/07/2009, 17h20
  5. Dbgrid Executer une procedure dans un déplacement de ligne
    Par Morisse dans le forum Bases de données
    Réponses: 2
    Dernier message: 03/05/2005, 08h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo