Skip to main content

Sécurité de votre site web : Les injections de code malveillant

Nous vous parlions mi-mai d’un sujet commun avec notre partenaire Checkout sur comment Lutter contre la fraude sans compromettre la performance des paiements. Cette lutte n’a de sens que si votre socle e-commerce est lui-même suffisamment bien sécurisé et offre tous les marqueurs et garanties à vos clients d’un respect et d’une préservation de vos données personnelles.

Récemment une attaque de type XSS a permis d’introduire un script évalué en permanence dans le code HTML. Ce script n’étant rien de plus qu’un banal script GTM mais avec un identifiant n’appartenant pas au site mais à un “hacker” (en l’occurrence GTM-WJ6S9J6). Très astucieux car ce type de script semble tout à fait normal, mais permet par le biais du back-office de google d’injecter toutes sortes de script javascript supplémentaires sur le site. Là encore c’est à s’y méprendre, car les fichiers javascript chargés ont des noms très proches de la réalité, exemple : gtm-statlstic.com

Cette attaque a permis notamment d’envoyer des données de formulaire de paiement vers un système tiers dès l’ouverture des soldes : je vous laisse imaginer la perte financière d’un tel acte… avec un pourcentage de chance de retrouver l’auteur très minime.
Parfois le but n’est pas de récupérer tout de suite des informations, mais d’infecter à l’aide d’un malware (logiciel malveillant qui scrute ce que vous faites notamment sur le web) votre ordinateur (cas de l’exemple plus haut), avec là aussi de graves conséquences.

1- Vérifier que votre socle e commerce est à jour

Des failles de sécurité sont découvertes régulièrement sur les systèmes, nul n’est infaillible, et il ne faut pas oublier que les machines et les codes sont faits par l’Homme !
Il est donc important de tenir une veille permanente sur les mises à jour publiées par les éditeurs. Ces mises à jour concernent à la fois votre socle e-commerce (ex. Magento) aussi bien que les divers modules tiers ajoutés pour leur lot de fonctionnalités additionnelles.
L’ensemble de ces failles sont liées à une version précise des outils employés par votre site, et implique les bibliothèques / framework utilisés, tel que Jquery, ou la version de PHP.
Ces mises à jour prennent en compte les failles découvertes permettant de faire divers types d’injection :

  • SQL : remplir un formulaire avec des éléments de requête SQL permettant de récupérer des informations de la base de données
  • XSS : vol de cookies, sessions, ajout de script sur le serveur, comme évoqué dans l’introduction

et bien d’autres…

2- Vérifier votre code “maison”

Il vous faut également vérifier et valider que le code mis en œuvre par vous même respecte les bonnes pratiques, ce qui élimine 90% des risques, et n’introduit aucun risque ou faille potentielle.

Il est malheureusement fréquent que la source des failles de sécurité proviennent de libertés prises lors du codage par souci de rapidité ; fonctionnalité demandée devant être déployée très vite ; mais parfois également par méconnaissance ou compétences trop faibles.
Des gestes simples permettent d’éviter ces intrusions :

  • Encoder (échapper) les données en entrée et en sortie
  • Filtrer les données issues de l’internaute
  • Valider leurs entrées
  • Utiliser le standard CSP (Content Security Policy)

3- Auditer la sécurité de son site et de son infrastructure

Lorsque vos équipes internes ou vos prestataires n’ont pas les capacités par manque de temps ou de compétences en la matière, faites appel à un tiers afin d’évaluer la bonne santé de votre site en termes de sécurité des différents points clés de votre e-commerce :

  • Mes formulaires de données ou d’authentification, frontend et backend, sont-ils sécurisés ?
  • Les versions de mes “middleware” (PHP, MySQL, Apache, Magento, Jquery, etc…) sont-elles visibles ?
  • Mon tunnel de vente est-il bien sécurisé ? (hosted fields, injections, … )
  • Mon infrastructure est-elle aussi sécurisée ? pas de ports non souhaités ouverts, protocoles sécurisés, authentification nécessaire pour accéder aux serveurs,…

Cette revue vous permettra d’être rassuré, et de pouvoir également rassurer vos clients. Les attaques de site ne sont plus l’apanage des grandes entreprises, tous les e-commerçants sont ciblés.

4- Aller plus loin… vérifier la sécurité dans vos propres locaux

Vous pouvez également aller plus loin dans cette veille de la sécurité. Si vous disposez de brevets, de process d’industrialisation, de collections en avant-première ou toutes autres données qui doivent rester secrètes, pensez également à vous faire accompagner sur la sécurité de vos locaux, de votre système d’information ou sur la sensibilisation de vos collaborateurs.

Le phishing est aujourd’hui un fléau de plus en plus répandu et de plus en plus “rusé”. Les imitations de mails officiels deviennent très proches de la réalité, et l’émergence des Intelligences artificielles peut aussi aider les fraudeurs ! Sensibiliser vos collaborateurs pour éviter toute fuite de données sensibles ou divulgation d’éléments qui pourraient faciliter la tâche de hackers.

Conclusion

La course à la performance des sites Web peut parfois mener à des raccourcis mettant à mal la sécurité des plateformes. Le 100% performant reste un “Graal” qui ne peut être atteint, et ne doit pas se faire au détriment de l’accessibilité et de la sécurité.

Pensez à faire auditer votre site de manière complète sur tous ses aspects, l’équipe de Web 2 Perf est là pour vous aider.

en_GBEnglish (UK)