Voir le prix d’achat des marchands sous Prestashop

Est-ce que tu t’es déjà dit… combien il fait de marge ce marchand ? Est-ce qu’il a des bons prix… ahaha aujourd’hui on va parler d’une faille de sécurité qui a été dévoilée sous Prestashop. Je vais montrer aussi comment la déclencher.



Une faille de sécurité dans Prestashop

Franchement j’avais pas vraiment fait attention, mais Wixiweb a levé le voile sur ce problème, une faille est bien présente… elle est liée au Debug de Smarty. C’est-à-dire qu’il est dans certains cas possible d’afficher la fenêtre de debug de Smarty, du coup on voit les valeurs des variables qui sont transmises… et qui ne sont pas forcément affichées à l’utilisateur. Par exemple on peut accéder à l’information du « prix d’achat » d’un produit… le truc que clairement aucun marchand n’a envie de montrer ou de divulguer.

Mais… mais c’est vachement grave !
Bon… je pense qu’il faut pas dramatiser… les petites boutiques n’ont pas trop de soucis à se faire (qui a envie de savoir leurs prix… bof bof)… Ensuite, le bug n’est pas forcément présent sur votre boutique, je vous invite à suivre les recommandations indiquées par Wixiweb (ouai je veux pas faire un doublon d’explication). Bien sûr on peut avoir accès à des variables plus sensibles, ce qui expose donc la boutique à des risques… mais une fois de plus… si vous n’avez pas un fort trafic… qui va s’amuser à tenter d’hacker votre site… (bon faut dire que certains le font juste pour le fun).

Cas concret
Wixiweb n’a pas voulu donner l’information sur « comment exploiter la faille »… ce que je comprends tout à fait, mais je vais quand même vous montrer comment faire histoire que vous puissiez aussi vous marrer. La méthode est enfantine il suffit simplement d’aller sur un site marchand genre http://www.maboutique.com et d’ajouter « ?SMARTY_DEBUG » à la fin de l’url… ce qui donnerait http://www.maboutique.com?SMARTY_DEBUG… bien sûr vous pouvez aussi le faire sur une fiche produit… partout.

Par exemple je l’ai testé sur une boutique… et bim on voit la fenêtre qui s’ouvre et là je vois par exemple la valeur du prix d’achat… ahahah ici par exemple on peut savoir que le marchand fait une marge de 50% sur ses ventes… intéressant non ? Bien sûr on peut choper des infos comme le stock… la référence du fournisseur etc… y’a de quoi s’amuser… on peut aussi récupérer les noms des modules… enfin celui qui veut passer au crible aura de l’info intéressante.

J’ai essayé ça fonctionne pas !
Cela ne le fait pas forcément sur toutes les boutiques, car cela dépendra de la configuration Smarty du shop… Rien ne vous empêche de tester sur des boutiques que vous connaissez… les plus populaires ont déjà pris les mesures nécessaires… maintenant les autres faudra voir s’ils lisent l’actualité Prestashop… si c’est pas le cas et qu’ils ont le bug… ils resteront avec la faille (ahaha).

A qui la faute ?
J’ai envie de dire que c’est un peu la responsabilité de chacun… on peut pas blâmer l’éditeur… Y’a des mecs qui ont leur ordi sans mot de passe… si on leur vole leur ordi on pourrait ouvrir leur session se connecter avec leur outil FTP et supprimer leur site, est-ce que c’est pire ? Ce qui est surtout important c’est de suivre l’information et de corriger histoire de rester à jour.

Rah mais t’es lourd… montre pas la faille !
Non mais bon, ça vous permet de tester en live sur votre boutique pour tester… et puis bon c’est quand même pas tabou… Après si vous allez faire ça sur le site de votre concurrent que ça vous fait marrer de voir que y’a le bug… à la limite je comprends… moi c’est le genre de truc qui me fait marrer. C’est pas digne d’un prestataire professionnel ? Bah c’est pas un secret d’état… le commun des mortels à le droit de savoir haha….

Bilan
Quand j’ai vu que y’avait cette faille… franchement j’étais comme un « môme » avec un nouveau jouet (oui bon je suis encore un gosse un peu)…  Et bim des rires de voir la fenêtre qui s’affiche avec les infos du marchand… Je me revois aussi dire à certains marchands… « bah oui c’est pire sécurisé Prestashop, approuvé par une société dans la sécurité »… Ahaha… mais c’est comme ça ! Maintenant il faut garder à l’esprit que sur le web rien n’est jamais sûr… d’ailleurs si on peut hacker des banques… un Prestashop… ça devrait pas être trop dur. Bon amusement à tous ! 😀

16 réflexions au sujet de « Voir le prix d’achat des marchands sous Prestashop »

    1. Ahah merci pour le lien… je pense que ça pourra guider certaines personnes.

      Bon ils ont pas dit genre « c’est grave »… c’est ça l’art de la communication…

      Je sais pas si c’est lié suite à ton billet ou si vous avez synchro. les deux (vu la date des 2 articles), si c’est suite à ton billet… ils auraient pu quand même faire un effort de mise en garde plus important.

      1. Je me suis envoyé un mail… je vais regarder pour faire le changement sur ta boutique.

        Bah oui Pascal il dramatise pas… c’est pas son genre 😉 haha…

    1. Bon heu… je gère la boutique de Pascal… faudra que je corrige (hé oui)…

      Mais bon… si je dois aller faire un check de tous les clients avec qui je bosse… ça promet.

    1. Hello,

      Oui je pense que là une mise en garde officielle devrait être faite… mais bon je pense que ça serait un nouveau coup dur et une nouvelle pub pas très valorisante pour Prestashop.

      Du coup il est plus simple de faire une recommandation… comme il l’ont fait sur le site officiel.

      Bien sûr que des marchands vont rester avec la faille active… combien ? Une bonne partie j’imagine…

      1. La politique de l’autruche est plutôt dommage. On fait quelque chose mais on ne fait rien.

        je n’ai même pas de réponse à mes mails ou aux échanges sur le forum.
        C’est con (Prestashop, si tu nous regarde), j’ai des nouvelles infos de sécurité mais bon, s’il faut en passer par un message sur un blog pour avoir un retour, c’est vraiment dommage.

        En tout cas, si tout ceux concernés peuvent passer le mot ça serait cool !

        1. A mon sens l’esprit communautaire s’est quand même un peu « barré » par rapport au tout début…

          C’est un peu comme tous les produits qui prennent tout à coup une grosse ampleur, le risque c’est qu’ils finissent par exploser s’ils ne font pas un minimum attention aux remarques.

          Possible aussi qu’ils soient tout simplement « dépassé » par la taille de la communauté… par rapport à la taille de la team.

          Si t’as des articles du même genre hésite pas… à les publier je trouve que c’est très intéressant !

    1. Heureusement… bon j’avais déjà oublié ce bug…

      Il doit toujours y avoir des boutiques exposées à la faille… je pense qu’il doit y en avoir beaucoup qui n’ont pas remarqué ce problème et qui n’ont pas vu passer les informations à ce sujet.

    2. Oui et non 😉
      La faille est présente par défaut sur toutes les 1.4, ce qui représentait quand même plus de 100.000 il y a encore 1 an.

      Mais attention car même en 1.5, il y a de nombreux site qui sont mal configurés et qui ont également cette faille.

      Même la dernière correction de Prestashop a été mal faite puisque nous pouvons maintenant changer la clé de debug mais la valeur par défaut reste « SMARTY_DEBUG » ce qui pose toujours problème.

      1. Merci pour le complément d’info…

        Il faudrait qu’ils changent automatiquement la clé de DEBUG avec une valeur unique (lors de l’installation)… un peu comme ils le font pour le COOKIE_KEY…

        Pas facile d’avoir l’oeil partout… y’a tellement de trucs à penser !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *