Mise à jour de sécurité pour PrestaShop

Détails

Créé le lundi 14 septembre 2015 17:30

En raison d’un problème de sécurité dont nous avons été avertis, nous diffusons aujourd’hui plusieurs manières de sécuriser une boutique pour nos utilisateurs et partenaires :

• Une nouvelle version de PrestaShop 1.4.x et 1.5.x. La version 1.6.1.0 est déjà sécurisée.
• Des fichiers de correctifs pour les dernières versions de chaque branche — 1.4.11.0, 1.5.6.2 et 1.6.0.14.
• Le module Security Patch, qui applique les correctifs ci-dessus, beaucoup plus
  facile à utiliser qu’en les appliquant à la main.
• Des archives Zip contenant les fichiers modifiés pour les branches 1.4, 1.5 et 1.6.

Nous vous conseillons fortement de mettre à jour votre boutique vers la dernière version de votre branche actuelle que nous venons de sortir (1.5.6.3 et 1.4.11.1), ou d’appliquer les correctifs que nous vous fournissons (voir les liens ci-dessous).

La version 1.5.6.3 corrige également 17 autres problèmes : voir le changelog ici.
La version 1.4.11.1 corrige également 7 autres problèmes : voir le changelog ici.

Veuillez lire cet article intégralement et attentivement. Merci.

[mise à jour : le guide technique d'application du correctif est maintenant disponible en français]

Quelles versions sont affectées ?

Le problème de sécurité qui a été découvert affecte toutes les versions de PrestaShop, sauf la version 1.6.1.0 et PrestaShop Cloud.

Ainsi, il affecte les branches 1.4, 1.5 et 1.6 jusqu’à la version 1.6.0.14.

En résumé, si vous n’avez pas fait la mise à jour version PrestaShop 1.6.1.0, il y a des chances pour que votre boutique soit vulnérable à ce problème.

Les thèmes et modules ne sont pas affectés, et devraient fonctionner normalement une fois le correctif en place.

Comment puis-je corriger ma boutique / les boutiques de mes clients ?

Pour ceux qui ne sont pas encore passés à PrestaShop 1.6.1.0, nous vous fournissons plusieurs manières de corriger le problème :

• Pour les utilisateurs non techniques, nous avons créé le module Security Patch, qui appliquera pour vous le correctif pour les dernières versions des branches 1.4, 1.5 et 1.6. Cela signifie qu’il marchera parfaitement avec PrestaShop 1.4.11.0, 1.5.6.2 et 1.6.0.15.
  Le module fonctionne pour les trois branches: installez-le, activez-le, et il appliquera le correctif !
• Pour les utilisateurs techniques, ou ceux pour qui le module n’arrive pas à appliquer le correctif, vous pouvez obtenir un patch pour les dernières versions de chaque branche (1.4, 1.5, 1.6) directement sur Github (cliquez ici pour les liens).
  Tout comme le module, ces patches ne fonctionnent que sur la dernière version de chaque branche, à savoir les 1.4.11.0, 1.5.6.2 et 1.6.0.14, et aucune autre — pas sans adaptation, en tout cas.
  Si votre boutique n’est pas à jour sur au moins la dernière branche (1.6), nous vous recommandons de mettre à jour vers la dernière version de votre branche (1.4, 1.5) avant d’appliquer le patch.
  Si vous ne pouvez pas faire de mise à jour, il vous revient d’adapter le patch à votre situation propre.
• Par ailleurs, vous pouvez télécharger les fichiers mis à jour pour les branches 1.4, 1.5 et 1.6. Ils ne contiennent que les fichiers qui ont été changés depuis la dernière version de chaque branche. Cliquez ici pour les liens.
  Si vous n’avez pas fait de modification à ces fichiers vous-mêmes, vous pouvez juste remplacer vos anciens fichiers par les nouveaux.

Enfin, les branches 1.5.x et 1.4.x ont été mises à jour. Dès aujourd’hui, vous pouvez télécharger PrestaShop 1.5.6.3 et 1.4.11.1 depuis la page de téléchargement des versions précédentes.

Étant donné que la version 1.6.1.0 comprend le correctif pour la branche 1.6, nous n’avons pas prévu de diffuser une version 1.6.0.15.

Dans les faits, le module applique les correctifs de chaque branche, qui sont conçus pour fonctionner sur les dernières versions : 1.6.0.14, 1.5.6.2, 1.4.11.0. Il ne marchera donc pas forcément pour les versions plus anciennes. Si vous êtes dans cette situation, nous avons préparé un petit guide pour vous aider à appliquer le correctif manuellement.

Dans tous les cas, nous suggérons de toujours garder votre boutique à jour vers la dernière version, la plus sécurisée : au mieux, la 1.6.1.0 ; au pire, la dernière version de la branche 1.4 ou 1.5.

Pour ceux qui ont fortement personnalisé les fichiers Core, veuillez prendre toutes les précautions possibles avant d’installer le module, avant d’appliquer les patches, ou avant de mettre en ligne les fichiers modifiés ! Vous pourriez avoir à adapter le correctif à votre installation spécifique.

Veuillez noter que le module ne fonctionnera pas sur toutes les configurations de serveur Windows, et certaines configuration Linux limitées. Dans ce cas, il vous revient d’adapter le patch à votre installation spécifique. Vous trouverez des instructions dans ce fichier texte.

J’utilise une ancienne version de PrestaShop, que puis-je faire ?

Le module fonctionne pour les versions récentes des branches 1.4, 1.5 et 1.6. Les versions plus anciennes de ces branches devraient également fonctionner, bien que les plus anciennes peuvent poser problème.

Le module ne fonctionnera pas pour PrestaShop 1.0, 1.1, 1.2 ni 1.3.

Si vous avez une ancienne version de PrestaShop, notre meilleur conseil reste le même : mettez à jour votre boutique. Vous devriez au moins être en version 1.4 de PrestaShop, étant donné que les versions plus anciennes ne vont plus recevoir de mise à jour — la branche 1.3, par exemple, n’a pas été mise à jour depuis le mois de mars 2011, il y a plus de 4 ans.

Nous comprenons que certains d’entre vous peuvent être bloqués sur une vieille version. C’est pour cela que nous avons récemment publié une article listant 4 manières de renforcer la sécurité de votre boutique très facilement.

En résumé, ces 4 manières sont :

• Faire en sorte que votre boutique soit bien à jour, ainsi que vos modules ;
• Protéger votre back-office avec un mot de passe .htaccess ;
• Utiliser un nom inhabituel pour le dossier de votre back-office (par exemple, quelque chose de plus unique que /admin1234) ;
• Utiliser des mots de passe plus complexes, ou même une phrase de passe qui serait propre à votre boutique.

Veuillez lire l’article entier dès que possible !
Vous trouverez plus de conseils faciles à appliquer sur la page de documentation “Rendre votre installation de PrestaShop plus sûre”.

Si vous voulez tenter d’appliquer le correctif, essayez en suivant notre petit guide pour vous aider à appliquer le correctif manuellement.

Quel est le problème ?

Le problème qui a été découvert tient dans la gestion du hasard par notre algorithme des génération de mots de passe. Cela pouvait amener une personne mal intentionnée à accéder à votre back-office.

L’attaque potentielle n’est pas évidente, mais nous préférons sécuriser votre boutique dès que possible.

Comment le problème a-t-il été découvert ?

Le problème a été découvert par le consultant en sécurité Vincent Herbulot (@us3r777), qui nous a contacté directement à l’adresse  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  sous le modèle de “divulgation responsable”. Merci Vincent !

Le problème a été corrigé par notre propre équipe sécurité, avec l’aide de Vincent. Le module a été créé par nos développeurs Coeur.

Qu’est-ce que la divulgation responsable ?

La divulgation responsable (et privée) est une pratique standard lorsque quelqu’un découvre un problème de sécurité : avant de le rendre public, le découvreur informe l’équipe Coeur sur le sujet, afin qu’un correctif puisse être préparé, et donc que les dommages potentiels soient minimisés.

L’équipe PrestaShop s’efforce d’être très proactive quand il s’agit de problèmes de sécurité. Quand bien même, des problèmes critiques peuvent surgir sans prévenir.

C’est pourquoi nous avons mis en place l’adresse Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. : n’importe qui peut nous contacter en privé, et nous donner des détails sur les problèmes de sécurité qui peuvent affecter les marchands utilisant PrestaShop ou leurs clients. Notre équipe de sécurité vous répondra, et discutera avec vous des délais pour votre publication des détails.

Pour comprendre un problème de sécurité, il faut savoir comment un attaquant s’est introduit dans le système et a hacké le site. Si vous avez ces détails, alors contactez-nous en privé (et merci de ne pas rendre les détails publics). Si vous ne connaissez pas la manière dont un hacker s’est introduit sur votre site, alors c’est sur le forum de support qu’il vous faudra demander de l’aide.

Quelle est la procédure suivie par PrestaShop en cas de problème de sécurité ?

Nous avons depuis peu adopté un nouveau système pour numéroter les versions de PrestaShop (“Semantic versioning”). Couplé aux améliorations du module Mise à jour en Un Clic, ce nouveau fonctionnement nous permet de garantir une mise à jour facile vers les prochaines versions de correction (“patch”), et ce pour tous nos utilisateurs. Les versions de correction concernent les problèmes dont la résolution maintient la rétrocompatibilité, et les correctifs de sécurité dès qu’ils sont en place.

Avec un protocole de sécurité interne renforcé, nous avons l’assurance de pouvoir réagir très rapidement si un nouveau problème devait surgir, en sortant une version plus rapidement, et d’une manière qui permettre de faire une mise à jour sans le moindre risque.

L’équipe de PrestaShop s’assure au quotidien de la sécurité de vos boutiques et vos clients, et nous prenons la sécurité très au sérieux. Merci pour votre compréhension face au problème qui fait surface aujourd’hui — et merci de faire une mise à jour rapide de toutes les boutiques dont vous avez la responsabilité.