Prestashop alerte module non-vérifié !

A partir du moment où l’on gère une boutique e-commerce il est important de miser sur le facteur « sécurité ». Ce processus de contrôle passe aussi forcément lors de l’étape de l’installation des modules afin de garantir une sécurité optimale & confidentialité des données.

Une découverte récente

Prestashop a ajouté un nouveau comportement dans son système que je n’avais jamais remarqué… Lors de l’installation d’un module si celui-ci n’est pas approuvé par Prestashop le client aura un message d’avertissement à l’installation qui lui indique que le module pourrait comporter certains risques. Du coup, j’ai presque moi-même été hésitant à installer mon propre module…

Un message surprenant… qui sensibilise la personne installant le module.

Ce que le marchand risque de comprendre

Quand j’ai eu le message, mon ressenti est clairement comme quand l’antivirus détecte un fichier malicieux et demande si on veut vraiment l’exécuter ? On va certainement refuser ! En gros le message stipule qu’il y pourrait y avoir des fonctionnalités indésirables dans le module… Mais quel est le pourcentage de chance que cela soit malicieux ? Moins de 5% à mon sens… du coup pour les 95% des cas clean, on aura droit au message quand même…

Comment ça fonctionne ?

La méthode de contrôle de Prestashop est assez simple, la boutique Prestashop vérifie sur Prestashop Addons si le module est déjà commercialisé par leurs services. Si c’est le cas… pas de problème le module va pouvoir s’installer correctement, si le module n’est pas recensé… l’alerte va surgir. Il faut savoir que chaque module sur Prestashop Addons est identifié par une clé unique, « module_key » (qu’on doit mettre dans le module) et c’est ce paramètre qui est utilisé pour le  contrôle d’authentification.

La fonction checkModuleFromAddonsApi communique avec Prestashop pour le contrôle.

Intérêts financiers

A quelque part on peut aussi se poser la question sur l’intérêt financier d’un tel message, car l’utilisateur moyen ne prendra pas le risque d’installer un module gratuit et préférera se tourner vers un module payant ce qui lui assurera certaines garanties (jouons sur la peur). Prestashop n’a pas encore développé cette partie « gratuite autour des modules », comme le fait par exemple WordPress avec ses plugins communautaires gratuits installables sans recommandations particulières & même automatiquement depuis le back-office.

Prestashop n’as pas développé le gratuit autour des modules, contrairement à WordPress.

Bilan

Bon c’est vrai le coeur commercial de Prestashop ça reste les modules, on va pas leur demander de faire que du gratuit 😀 ! Ce qui pourrait-être intéressant c’est d’avoir un indice de fiabilité du module sur ceux qui ne sont pas approuvés par Prestashop… La manière proposée actuellement est un peu brutale… et me donne l’impression qu’on demande au marchand s’il veut prendre le risque d’être hacké ou non… alors que dans la plupart des cas, ces modules vérolés restent mineurs.

Notez mon billet, Google va adorer :
1 étoiles - J'aime pas !2 étoiles - Bof !3 étoiles - Bien !4 étoiles - Très bien !5 étoiles - Génial ! (Soyez le premier à noter ce billet)
Loading...

6 commentaires sur “Prestashop alerte module non-vérifié !”

  1. Salut,

    Tout semble indiquer la mort annoncée des modules gratuits pour Prestashop et par là même aussi de tous les modes annexes pour se procurer des modules.

    Addons fait tout pour contrôler la production autour de son script sans donner de vrai méthodes utiles aux développeurs garantissant un revenu correcte et aussi une sécurité, ainsi il serait plus intéressant (j’en parle depuis plus de 4 ans maintenant) de mettre en place une vrai plateforme de contrôle des licences obligeant les clients à n’utiliser les modules que sur 1 domaine spécifique.

    Mais bon est ce vraiment la mort de Prestashop en ne faisant que la moitié du chemin ?

    1. Hello,

      De mon côté j’ai aussi vu évoluer la courbe Prestashop depuis 2007 au tout début on avait pas tout ça…

      En ce qui concerne Prestashop Addons, la plateforme me fait gagner de l’argent oui… mais ce n’est pas de tout repos quand on a « tout compté »… Par contre, il faut souligner le paiement régulier de Prestashop (transfert), qui pour ma part se fait toujours très rapidement.

      Pour le contrôle des licences c’est aussi délicat, prenons par exemple le cas de Store Commander qui utilise Ioncube pour garder main-mise sur leur développement… C’est une bonne chose, mais c’est aussi parfois frustrant de ne pas pouvoir accéder à la source… (je prends le 1er cas qui me passe à l’esprit).

      De mon côté j’observe aussi certaines variantes douteuses… je sais bien que des modules sont installés sur multi-shop… mais bon, faut croire que ceux-ci ont un potentiel (j’essaie de regarder côté positif).

      A mon avis Prestashop n’est pas prêt de s’arrêter… il y’a du payant certes… par contre est-ce que le marché du module c’est forcément l’avenir… c’est une bonne question.

      En tout cas merci d’être venu donner ton avis !

  2. J’ai le même message pour HiPay, sois disant officiel…, alors qu’il na plus été mis à jour depuis la 1.5, donc je ne pense pas que c’est lié à faire peur…, je me trompe peut-être.

    1. Disons que si le module n’est pas référencé sur Prestashop Addons avec le bon « module_key » à l’installation… le message va s’afficher, même si finalement il n’aurait pas raison d’être.

      Cela peut effrayer l’utilisateur non-confirmé, les experts passeront au dessus du warning.

  3. Bonjour à tous,

    Merci pour votre article – le popup est certainement maladroit et nous allons le corriger.
    Le but de ce popup est d’informer le marchand dans ces décisions – même si seulement 5% des modules peuvent poser soucis, nous préférons que le marchand en prenne conscience.

    Nous allons donc améliorer le message. Je suis d’ailleurs curieux d’entendre ce que vous feriez comme « indice de fiabilité ». Pourriez-vous m’en dire un peu plus par email ? lucas.cerdan (at) prestashop (dot) com ?

    Lucas
    Product Manager @ PrestaShop

    1. Bonjour,

      Merci pour votre retour.

      Je comprends tout à fait votre position sur ce point, il est important que le marchand soit au courant des risques lors du déploiement. C’est peut-être la fréquence et la manière dont est diffusé le message qui sont peut-être un peu « fort », mais chacun aura son opinion là-dessus.

      Concernant l’indice de fiabilité, c’était vraiment en passant… Sur le principe il faudrait que Prestashop propose une plateforme « ouverte » pour les modules gratuits et que les clients puissent les installer depuis le back-office (avec une recherche sur ces modules « free »). La notoriété serait ensuite données par les utilisateurs du module via la plateforme officielle de Prestashop (ce qui n’empêche pas le risque potentiel de hack).

      Comme d’habitude cela est toujours plus facile à dire qu’à faire, mais du côté des modules gratuit, il manque peut-être quelque chose de plus « Officiel » et qui soit piloté / surveillé, par la société Prestashop.

      Prestashop Addons propose certains modules gratuits, mais ce n’est pas vraiment la plateforme communautaire idéale pour ce type d’opérations.

      Merci pour votre visite !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *