Alors que Magento célébrait hier la mise à la disposition des ses deux dernières versions majeures, la Magento Enterprise 1.12 et Magento Community 1.7, (cf. http://www.magentocommerce.com/blog/comments/magento-enterprise-112-and-community-17-now-available/), une partie de la communauté francophone s’inquiète de faille de sécurité.
La Magento Community Edition, jusqu’à la version 1.3.3.0 et l’édition Magento Enterprise (inférieure ou égale à la version 1.6), comportent une faille permettant à un tiers d’extraire des informations sur les clients des boutiques en ligneportant sur les champs suivants :
Timestmap/date de création de compte, Nom, Prénom, Numéro de téléphone, Adresse complète avec code postal, Nom de société, ...
L’auteur de l’annonce de la faille, un formateur Magento, déclare que ce problème pourrait concerner 30 à 40% de sites e-commerce utilisant Magento en production.
Source : Gabriel Bouhatous @ The e-Commerce Academy
E-commerçants utilisant une version ancienne de Magento concernée par cette faille, téléchargez le document PDF qui présente clairement la démarche corrective à appliquer (le code, tiré de la version majeure suivante, est copié-collé avec toutes les instructions nécessaires (nom du fichier à patcher, etc)) ainsi que les risques encourus :
Une autre faille de sécurité fait suite, d’une gravité plus élevée puisqu’elle permet de modifier les informations de paiement transitant entre la boutique en ligne et le site de paiement Paypal. Les contrevenants ont alors la possibilité de changer le montant total du panier en cours, et de régler ainsi une somme dérisoire, alors que le site marchand gardera bien, lui, les informations de commande en ligne correctes. Imaginez le déboire pour l’e-marchand !
Cette faille ne concerne que les sites proposant le règlement via Paypal et utilisant les versions Enterprise Edition pré 1.10.1 et Community Edition pré 1.5.
Elle n’est pas une fatalité, car tout commerçant sérieux aura le réflexe d’aller vérifier que le versement correspondant au panier a bien été réalisé sur le site Paypal lui-même avant d’expédier la commande. Mais sait-on jamais...
Enfin, bonne nouvelle, cette faille a également son correctif , expliqué pas à pas sur le document PDF (Advisory) mis à disposition par la société NBS SYSTEM à l’adresse suivante : http://www.nbs-system.com/wp-content/uploads/Faille_Magento_Paypal.pdf