Failles critiques PrestaShop 2024-2025 : comment protéger votre boutique en ligne ?

Pourquoi PrestaShop est une cible privilégiée ?

Popularité de PrestaShop : une arme à double tranchant

PrestaShop est un CMS open source de référence dans le monde de l’e-commerce. Utilisé par plus de 250 000 boutiques en ligne à travers le monde, il offre une grande flexibilité et un écosystème riche en modules. Toutefois, cette popularité en fait également une cible privilégiée pour les cyberattaques. Depuis 2023, les signalements de vulnérabilités critiques se sont multipliés, rendant impératif pour les e-commerçants de renforcer la sécurité de leur plateforme.

Modules tiers : un écosystème puissant mais risqué

Le but de cet article est d’apporter une analyse approfondie des principales failles de sécurité identifiées dans PrestaShop au cours de l’année 2024 et début 2025, de comprendre leur fonctionnement, leur impact, et d’apporter des recommandations concrètes et opérationnelles pour y faire face. Vous trouverez également les références aux CVE concernés et les preuves de concept disponibles publiquement. Chez ITSense, nous accompagnons nos clients dans la sécurisation de leurs boutiques pour leur garantir sérénité et performance.

Contactez-nous dès maintenant pour nous partager vos enjeux et nous détailler votre projet
  • ITsense : L’infogérance, hébergement et sécurité!

Présentation des failles critiques récentes

Les failles identifiées ces derniers mois relèvent principalement de trois types d’attaques : l’injection SQL, les failles XSS (cross-site scripting), et les élévations de privilèges via des modules vulnérables.
En août 2024, une campagne massive d’attaques a été détectée exploitant une faille dans le module SQL Manager, entraînant la compromission de milliers de boutiques. Le hacker à l’origine de cette campagne a mis en vente l’accès à plus de 5 000 boutiques PrestaShop sur le dark web.
En parallèle, des vulnérabilités dans des modules non maintenus, souvent gratuits ou installés sans audit de sécurité, ont permis la prise de contrôle de comptes administrateurs via des attaques XSS persistantes. Enfin, certains hébergeurs mal configurés ont laissé des portes ouvertes au niveau des droits sur les fichiers, facilitant l’élévation de privilèges via injection de shell PHP.
Ces failles démontrent une chose : la sécurité ne dépend pas uniquement de PrestaShop, mais aussi de l’environnement dans lequel il est installé, des pratiques d’hygiène numérique adoptées, et du sérieux dans le choix des extensions.

Analyse détaillée de la vulnérabilité CVE-2023-30839

Détails techniques de la faille

La faille CVE-2023-30839 est l’une des plus médiatisées de l’année 2023. Elle concerne le module SQL Manager de PrestaShop, qui permet normalement aux administrateurs d’exécuter des requêtes SQL à des fins de diagnostic. Malheureusement, une mauvaise validation des entrées utilisateur permettait à un attaquant disposant d’un accès au back-office de contourner les filtres de sécurité et d’injecter des requêtes malicieuses dans la base de données.
Techniquement, cette vulnérabilité repose sur une faille d’injection SQL aveugle, permettant à un attaquant d’exécuter des requêtes de modification (`UPDATE`, `DELETE`, `INSERT`) et de création (`CREATE TABLE`, `DROP TABLE`) directement depuis l’interface. Dans les pires scénarios, l’attaquant pouvait modifier les droits des utilisateurs, créer un nouvel administrateur, ou injecter une backdoor dans la base de données via un champ HTML.

Versions affectées

Cette vulnérabilité affecte toutes les versions de PrestaShop jusqu’à la 1.7.8.8, avec le module `ps_sqlmanager` activé. Elle est classée comme critique par le NIST (score CVSS : 9.8/10).

Exploitation automatisée via scripts

L’attaque a été industrialisée à travers des scripts automatisés qui scannaient les sites vulnérables, identifiaient la présence du module, puis lançaient des requêtes injectées en quelques secondes.

Sources officielles et PoC

📌 Référence CVE officielle : https://nvd.nist.gov/vuln/detail/CVE-2023-30839
📌 Preuve de concept (PoC) : https://security.friendsofpresta.org/core/2023/05/03/core-CVE-2023-30839.html
📌 Publication GitHub : https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-p379-cxqh-q822

Contactez-nous dès maintenant pour nous partager vos enjeux et nous détailler votre projet
  • ITsense : L’infogérance, hébergement et sécurité!

Autres vulnérabilités notables dans PrestaShop

En plus de CVE-2023-30839, d’autres failles critiques ont été découvertes récemment :
– CVE-2024-22120 : vulnérabilité XSS persistante dans les champs de configuration de plusieurs modules, permettant à un attaquant d’exécuter du JavaScript à la volée dès qu’un administrateur consulte une page du back-office.
– CVE-2024-29013 : élévation de privilège via permissions incorrectes sur les fichiers de configuration, notamment `/config/settings.inc.php`.
– Modules tiers compromis : certains modules de paiement et SEO populaires, disponibles gratuitement sur des forums, contenaient du code malveillant injectant des iframes ou redirigeant les clients vers des pages de phishing.


Ces failles sont souvent exploitées non pas seules, mais en chaîne : l’accès est obtenu via une XSS, puis élargi via une élévation de privilège, jusqu’à prendre le contrôle total du serveur.

Mesures de protection et bonnes pratiques de sécurité

Pour faire face à ces menaces, voici une liste complète de bonnes pratiques, organisées selon les couches de sécurité :

Niveau CMS : sécurité native

  • Gardez toujours PrestaShop à jour.
  • Supprimez les modules non utilisés.
  • Utilisez uniquement des modules vérifiés ou payants.
  • Changez l’URL du back-office (`admin123` ➝ `gestion-votre-boutique2025`).
  • Activez l’authentification à deux facteurs via un module compatible.

Niveau serveur : configuration et isolation

  • Mettez en place un WAF (Cloudflare, Sucuri, ou ModSecurity).
  • Interdisez les accès FTP ouverts au monde (whitelisting IP).
  • Séparez la base de données du reste de l’hébergement.

Surveillance & alertes

  • Utilisez Fail2Ban ou Wazuh pour détecter les tentatives d’intrusion.
  • Activez la journalisation des connexions administratives.
  • Configurez une alerte email en cas de changement d’admin ou de module.

Sauvegardes : fréquence et intégrité

  • Sauvegarde quotidienne de la base et du contenu du dossier `/themes`, `/modules`, `/img` et `/override`.
  • Testez régulièrement la restauration de vos sauvegardes.

💬 ITSense recommande la mise en place un PCA/PRA visant à sécurisé votre chiffre d’affaires si celui-ci dépend fortement de votre site e-commerce.

Contactez-nous dès maintenant pour nous partager vos enjeux et nous détailler votre projet
  • ITsense : L’infogérance, hébergement et sécurité!

Procédure à suivre en cas de compromission

Étapes d’urgence

1. Isolation : déconnectez le serveur ou le site d’Internet.

2. Identification : analysez les fichiers modifiés récemment (`find . -mtime -1`) et les accès dans les logs.

Restauration et notification

Utilisez une sauvegarde propre, puis changez tous les mots de passe.

Audit et renforcement post-attaque

4.  Audit : lancez un scan avec un outil spécialisé pour détecter d’éventuels scripts cachés.
5. Communication : informez les clients de façon transparente, surtout si leurs données personnelles ont été touchées.
6. Déclaration à la CNIL : obligatoire dans les 72h en cas de fuite de données personnelles (RGPD).
7. Renforcement : appliquez les recommandations évoquées plus haut, et auditez les modules installés.

Une communication transparente et maîtrisée avec vos clients renforce paradoxalement leur confiance, à condition que des mesures correctives sérieuses soient prises rapidement.

Conclusion : anticiper pour mieux se protéger

L’année 2024 a mis en lumière la fragilité de nombreuses boutiques PrestaShop, souvent laissées sans maintenance technique sérieuse. Pourtant, la majorité des attaques auraient pu être évitées avec un minimum de prévention.
Chez ITSense, nous intervenons à tous les niveaux: configuration serveur, détection de malware, sécurisation du back-office, surveillance active, et accompagnement RGPD. Nous croyons qu’un site e-commerce sécurisé est un site rentable : moins d’interruption, plus de confiance, plus de conversions.
Si vous souhaitez un audit gratuit ou un plan de sécurisation de votre infrastructure, contactez-nous. Mieux vaut prévenir que subir.

Contactez-nous dès maintenant pour nous partager vos enjeux et nous détailler votre projet
  • ITsense : L’infogérance, hébergement et sécurité!

ITSense : votre partenaire pour sécuriser votre e-commerce

🔒 www.itsense.fr – Experts sécurité web depuis 2015.

Cookies
Ce site utilise des cookies. Pour tous les accepter, cliquez sur "Tout accepter". Vous pouvez également choisir les types de cookies autorisés en cliquant sur "Personnaliser" Lire notre politique de cookies
Personnaliser Tout refuser Tout accepter
Cookies
Choisissez les types de cookies à accepter. Votre choix sera enregistré pour 6 mois. Lire notre politique de cookies
Enregistrer Tout refuser Tout accepter