De nombreuses boutiques en ligne soi-disant sécurisées échouent simplement parce qu’elles stockent leurs sauvegardes dans des répertoires accessibles au public.

Les boutiques en ligne ne sont que trop heureuses d’annoncer que leurs transactions sont sécurisées. Cependant, selon une nouvelle étude, plus de 12 % échouent avec leur seule stratégie de sauvegarde. Les fichiers de sauvegarde contenant d’innombrables informations sensibles traînent souvent simplement dans des répertoires Web librement accessibles.

De nombreuses boutiques en ligne n’ont pas de stratégie de sauvegarde sécurisée

Selon une étude de la société de sécurité Sansec, environ 12 % de tous les opérateurs de boutiques en ligne supposées sécurisées laissent des sauvegardes dans des dossiers accessibles au public. En raison de cette négligence, il n’est pas rare que les mots de passe des comptes internes tombent entre les mains de cybercriminels, qui peuvent alors prendre le contrôle de l’ensemble du site Web.

Comme le rapporte BleepingComputer, les chercheurs de Sansec ont examiné un total de 2 037 magasins de différentes tailles. Pour 250 d’entre eux, soit 12,3 %, ils ont trouvé des archives ZIP, SQL et TAR dans des dossiers Web publics. Ceux-ci étaient gratuits et accessibles sans aucune authentification.

Il s’agissait de sauvegardes contenant un certain nombre d’informations sensibles. Y compris certaines URL administratives, clés API internes, mots de passe de base de données et données personnelles des clients.

Adieu les boutiques en ligne sécurisées : une seule sauvegarde détruit tout

Il est évident que cela ne peut rester sans conséquences. « Les criminels en ligne recherchent activement ces sauvegardes car elles contiennent des mots de passe et d’autres informations sensibles», ont déclaré les chercheurs dans leur rapport. Plusieurs adresses IP ont déjà été identifiées d’où émanaient des attaques sur les boutiques en ligne supposées sécurisées.

En conséquence, les cybercriminels recherchent automatiquement les fichiers de sauvegarde librement accessibles »,pour prendre le contrôle des magasins, faire chanter les marchands et intercepter les paiements des clients. » Ce processus de numérisation est très peu coûteux et reste souvent non détecté pendant de longues périodes, car il n’affecte en rien les performances des magasins respectifs.

Il n’est donc pas étonnant que les consommateurs se préoccupent de plus en plus de leur vie privée lorsqu’ils font des achats en ligne.

Les commerçants doivent agir

Si vous voulez vraiment gérer une boutique en ligne sécurisée, vous devez vérifier régulièrement votre site Web pour les données et les sauvegardes publiées accidentellement. S’il en trouve, l’équipe Sansec conseille une série de mesures :

1. Vérifiez les fichiers journaux de votre serveur Web pour voir si votre sauvegarde a été téléchargée.
2. Recherchez les comptes d’administrateur non autorisés.
3. Modifiez tous les mots de passe pertinents, en particulier les comptes d’administrateur, les comptes SSH/FTP et les mots de passe de la base de données.
4. Assurez-vous que tout votre personnel utilise une authentification à deux facteurs.
5. Assurez-vous que votre site Web ne contient aucun panneau d’administration de base de données à distance comme phpMyAdmin ou Adminer.
6. Lancez un scanner de logiciels malveillants pour le commerce électronique. Notre scanner de sécurité principal, eComscan, a été principalement développé pour accélérer ce type d’enquêtes.

Sansec

Par mesure de précaution, l’entreprise conseille entre autres aux administrateurs des boutiques de restreindre l’accès aux fichiers d’archive via la configuration du serveur Web. Il peut également être utile de mettre en œuvre une stratégie propre de sauvegardes régulières afin qu’une sauvegarde ad hoc ne soit pas nécessaire en premier lieu.