En raison d’un problème de sécurité dont nous avons été avertis, nous diffusons aujourd’hui plusieurs manières de sécuriser une boutique pour nos utilisateurs et partenaires :
Nous vous conseillons fortement de mettre à jour votre boutique vers la dernière version de votre branche actuelle que nous venons de sortir (1.5.6.3 et 1.4.11.1), ou d’appliquer les correctifs que nous vous fournissons (voir les liens ci-dessous).
La version 1.5.6.3 corrige également 17 autres problèmes : voir le changelog ici.
La version 1.4.11.1 corrige également 7 autres problèmes : voir le changelog ici.
Veuillez lire cet article intégralement et attentivement. Merci.
[mise à jour : le guide technique d'application du correctif est maintenant disponible en français]
Le problème de sécurité qui a été découvert affecte toutes les versions de PrestaShop, sauf la version 1.6.1.0 et PrestaShop Cloud.
Ainsi, il affecte les branches 1.4, 1.5 et 1.6 jusqu’à la version 1.6.0.14.
En résumé, si vous n’avez pas fait la mise à jour version PrestaShop 1.6.1.0, il y a des chances pour que votre boutique soit vulnérable à ce problème.
Les thèmes et modules ne sont pas affectés, et devraient fonctionner normalement une fois le correctif en place.
Pour ceux qui ne sont pas encore passés à PrestaShop 1.6.1.0, nous vous fournissons plusieurs manières de corriger le problème :
Enfin, les branches 1.5.x et 1.4.x ont été mises à jour. Dès aujourd’hui, vous pouvez télécharger PrestaShop 1.5.6.3 et 1.4.11.1 depuis la page de téléchargement des versions précédentes.
Étant donné que la version 1.6.1.0 comprend le correctif pour la branche 1.6, nous n’avons pas prévu de diffuser une version 1.6.0.15.
Dans les faits, le module applique les correctifs de chaque branche, qui sont conçus pour fonctionner sur les dernières versions : 1.6.0.14, 1.5.6.2, 1.4.11.0. Il ne marchera donc pas forcément pour les versions plus anciennes. Si vous êtes dans cette situation, nous avons préparé un petit guide pour vous aider à appliquer le correctif manuellement.
Dans tous les cas, nous suggérons de toujours garder votre boutique à jour vers la dernière version, la plus sécurisée : au mieux, la 1.6.1.0 ; au pire, la dernière version de la branche 1.4 ou 1.5.
Pour ceux qui ont fortement personnalisé les fichiers Core, veuillez prendre toutes les précautions possibles avant d’installer le module, avant d’appliquer les patches, ou avant de mettre en ligne les fichiers modifiés ! Vous pourriez avoir à adapter le correctif à votre installation spécifique.
Veuillez noter que le module ne fonctionnera pas sur toutes les configurations de serveur Windows, et certaines configuration Linux limitées. Dans ce cas, il vous revient d’adapter le patch à votre installation spécifique. Vous trouverez des instructions dans ce fichier texte.
Le module fonctionne pour les versions récentes des branches 1.4, 1.5 et 1.6. Les versions plus anciennes de ces branches devraient également fonctionner, bien que les plus anciennes peuvent poser problème.
Le module ne fonctionnera pas pour PrestaShop 1.0, 1.1, 1.2 ni 1.3.
Si vous avez une ancienne version de PrestaShop, notre meilleur conseil reste le même : mettez à jour votre boutique. Vous devriez au moins être en version 1.4 de PrestaShop, étant donné que les versions plus anciennes ne vont plus recevoir de mise à jour — la branche 1.3, par exemple, n’a pas été mise à jour depuis le mois de mars 2011, il y a plus de 4 ans.
Nous comprenons que certains d’entre vous peuvent être bloqués sur une vieille version. C’est pour cela que nous avons récemment publié une article listant 4 manières de renforcer la sécurité de votre boutique très facilement.
En résumé, ces 4 manières sont :
Veuillez lire l’article entier dès que possible !
Vous trouverez plus de conseils faciles à appliquer sur la page de documentation “Rendre votre installation de PrestaShop plus sûre”.
Si vous voulez tenter d’appliquer le correctif, essayez en suivant notre petit guide pour vous aider à appliquer le correctif manuellement.
Le problème qui a été découvert tient dans la gestion du hasard par notre algorithme des génération de mots de passe. Cela pouvait amener une personne mal intentionnée à accéder à votre back-office.
L’attaque potentielle n’est pas évidente, mais nous préférons sécuriser votre boutique dès que possible.
Le problème a été découvert par le consultant en sécurité Vincent Herbulot (@us3r777), qui nous a contacté directement à l’adresse Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. sous le modèle de “divulgation responsable”. Merci Vincent !
Le problème a été corrigé par notre propre équipe sécurité, avec l’aide de Vincent. Le module a été créé par nos développeurs Coeur.
La divulgation responsable (et privée) est une pratique standard lorsque quelqu’un découvre un problème de sécurité : avant de le rendre public, le découvreur informe l’équipe Coeur sur le sujet, afin qu’un correctif puisse être préparé, et donc que les dommages potentiels soient minimisés.
L’équipe PrestaShop s’efforce d’être très proactive quand il s’agit de problèmes de sécurité. Quand bien même, des problèmes critiques peuvent surgir sans prévenir.
C’est pourquoi nous avons mis en place l’adresse Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. : n’importe qui peut nous contacter en privé, et nous donner des détails sur les problèmes de sécurité qui peuvent affecter les marchands utilisant PrestaShop ou leurs clients. Notre équipe de sécurité vous répondra, et discutera avec vous des délais pour votre publication des détails.
Pour comprendre un problème de sécurité, il faut savoir comment un attaquant s’est introduit dans le système et a hacké le site. Si vous avez ces détails, alors contactez-nous en privé (et merci de ne pas rendre les détails publics). Si vous ne connaissez pas la manière dont un hacker s’est introduit sur votre site, alors c’est sur le forum de support qu’il vous faudra demander de l’aide.
Nous avons depuis peu adopté un nouveau système pour numéroter les versions de PrestaShop (“Semantic versioning”). Couplé aux améliorations du module Mise à jour en Un Clic, ce nouveau fonctionnement nous permet de garantir une mise à jour facile vers les prochaines versions de correction (“patch”), et ce pour tous nos utilisateurs. Les versions de correction concernent les problèmes dont la résolution maintient la rétrocompatibilité, et les correctifs de sécurité dès qu’ils sont en place.
Avec un protocole de sécurité interne renforcé, nous avons l’assurance de pouvoir réagir très rapidement si un nouveau problème devait surgir, en sortant une version plus rapidement, et d’une manière qui permettre de faire une mise à jour sans le moindre risque.
L’équipe de PrestaShop s’assure au quotidien de la sécurité de vos boutiques et vos clients, et nous prenons la sécurité très au sérieux. Merci pour votre compréhension face au problème qui fait surface aujourd’hui — et merci de faire une mise à jour rapide de toutes les boutiques dont vous avez la responsabilité.