Blog
Comment Hacker Un Site E-commerce ?

Comment hacker un site e-commerce ?

Temps de lecture 7 minutes
  • Des pratiques illégales de hacking de données sont révélées au grand public.
  • De plus en plus de personnes hackent des sites e-commerce pour payer moins cher leurs achats.
  • Une faille de sécurité permet de modifier le prix total des achats sur certains sites e-commerce conçus avec Magento ou Prestashop.

Les pratiques illégales de mise sur écoute et de piratage de données ont été révélées au grand public il y a maintenant quelques années par des gens comme Edward Snowden (ancien informaticien de la NSA) ou encore Julien Assange (Fondateur du site Wikileaks).

La Chine est un des pays les plus actifs sur la scène du hacking de données, et elle a fait parler d’elle à plusieurs reprises, notamment au sujet d'un récent piratage du système informatique fédéral des Etats-Unis, rien que ça !  Si ce genre d'histoires vous passionne, on vous recommande d'ailleurs la lecture de l'excellent roman Cybermenace de Tom Clancy.

Mais il n’y a pas que des cyber-informaticiens qui soient capables de telles prouesses, de plus en plus de personnes comme vous et moi hackent des sites e-commerce afin de payer moins cher leurs achats. Le hack dont nous allons vous parler ici fonctionnent sur énormément de sites e-commerce conçus avec Magento ou Prestashop.

AVERTISSEMENT : cet article est purement à but informatif afin d'illustrer les risques dont doivent se protéger les sites e-commerce.
Toute tentative d'utilisation de ces failles de sécurité se fera aux risques et périls de l'utilisateur qui s'exposera à des poursuites pénales conformément à la loi française.

15% des sites e-commerce sont affectés par cette faille de sécurité

Lancez le navigateur Google Chrome et rendez-vous sur un site de e-commerce au choix (ce bug ne concerne pas les grandes sites de commerce chinois comme JD.com, tmall.com, dangdang.com).
Pour cet exemple, nous avons choisi un site e-commerce français, illustré ci-dessous :

Pour le test, je me suis constitué un panier assez garni (plus de 32,000 euros) et vous allez voir que je ne vais payer qu'1 petit euro à la fin.

1. Créez un compte et remplissez votre panier sur le site

2. Au moment de payer, sélectionnez Paypal puis faites un clic-droit sur votre souris
Le menu suivant apparaît :

3. Sélectionnez Procéder à linspection de l’élément

Le code source de la page apparaitsur le côté.

4. Appuyez sur Control+F pour faire une recherche dans la page, et cherchez hidden. Allez directement au 8ème résultat dans notre exemple, ou bien cherchez la valeur qui correspond au coût total de vos achats.

5. Modifiez le coût total des achats (en jaune sur l’écran) et renseignez ce que vous souhaitez comme prix (le minimum étant de 0.01 euro).

6. Ensuite retournez sur votre page, validez votre achat et passez au paiement.

7. Réglez votre achat avec Paypal ou tout autre moyen de paiement disponible

Pourquoi ça marche ?

Ce bug est rendu possible par le codage des valeurs en Ajax qui enregistre instantanément toute modification sur la page.

Qu'est-ce que je risque si je fais ce genre de chose ?

Au cas où ce ne serait pas clair on vous déconseille très fortement de jouer à ce genre de manipulation car il s'agit de vol pur et simple aggravé de hacking :

  • Pour le vol, l'amende et l'éventuelle peine de prison encourus sont proportionnels aux préjudices que vous avez imputés au site e-commerce
  • Et l'intrusion dans un système informatique automatisé de traitement des données est puni par le code pénal de 15.000 euros d'amende et jusqu'à un an de prison (art. L323-1 du Code Pénal)

Comment sécuriser votre site contre ce genre de faille de sécurité ?

Il existe plusieurs méthodes pour protéger votre site e-commerce contre ce genre de faille :

  • Installer des modules de paiement sécurisés avec certificat SSL sur votre site e-commerce
  • Rajouter un champs "hidden" contenant une copie cryptée du montant panier (avec une transformation MD5 par exemple) et contrôler la concordance des 2 champs
  • Imposer le check d'une variable en base de données avant toute redirection sur une plateforme de paiement (CB classique / Paypal)
  • Generer un id unique en s'assurant de le "TimeStamper" avec des données aléatoires + heure + informations sur le terminal du client et ses composants (ex: adresse m@c)
  • Faire un re-calcul du prix panier en base de donnée avant expédition
  • Ou encore faire appel à un professionnel de la sécurité informatique comme Alverlys

Source : e-commercechinaagency

Https://pxagency fr/hacker-site-e-commerce/

Comment faire la vente ou pirater les sites de vente

Hacker un site de vente en ligne
3.4 5 votes
Noter cet article
Avatar

Fabien Elharrar

Consultant en acquisition d'audience, monétisation web et growth hacking.

S’abonner
Notification pour
guest

Commentaires
Commentaires en ligne
Afficher tous les commentaires


Pour aller plus loin


0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x
Back To Top
×Close search
Rechercher