[PrestaShop 1.7] Nouvelle attaque, nouvelle parade

Depuis une petite semaine, les utilisateurs de la version 1.7 de PrestaShop peuvent être victimes d'attaques à la création de compte clients.

Cette forme d'attaque a pour but de provoquer le blacklistage de l'adresse ip du serveur ainsi que du nom de domaine pour que les emails envoyés soient considérés comme SPAMS et porter préjudice à leur propriétaire.

L'alerte fut donnée lorsque des services d'emailing proposant des solutions d'emails transactionnels pour PrestaShop comme SendinBlue ont commencé à verrouiller des comptes clients suite à un grand nombre d'adresses email en erreur.

Cette attaque est l'évolution de l'attaque du mois d'avril de l'année dernière qui avait obligé PrestaShop à proposer une correction en urgence suite aux efforts de la communauté.

Cette nouvelle version est plus complexe à identifier et demande donc une approche différente pour réussir à la contrer.

Suite à l'alerte d'un de mes clients qui utilise déjà mon module de Captcha mathématique simple qui permet d'installer un calcul mathématique sur le formulaire de contact afin d'en sécuriser la validation. Mon module intègre aussi des sécurités supplémentaires pour les versions plus anciennes de Prestashop.

J'ai d'abord testé l'usage simple d'un blocage en Javascript de la validation du formulaire avec ce Captcha, mais cela n'a strictement rien changé puisque les pirates passent outre le navigateur et donc le Javascript.

J'ai décidé alors d'utiliser la seconde technique qui sert déjà à sécuriser le formulaire de contact à l'aide des Cookies puisque seuls les navigateurs stockent ces données. Pas de souci RGPD dans ce cas puisque ce ne sont pas des données personnelles.

Suite à la mise en place de cette sécurité mon client n'a plus eu d'inscription frauduleuse et peut profiter tranquillement de sa boutique qui est maintenant totalement sécurisée au niveau de son formulaire de contact et du formulaire d'inscription.

Si vous souhaitez aussi sécuriser votre boutique PrestaShop, vous pouvez trouver mon module de Captcha sur Prestatoolbox.

Commentaires