Voilà maintenant 7 jours que de nombreuses attaques ont lieu sur les boutiques en ligne PrestaShop.
Ces attaques consistent à créer en masse de faux comptes clients sur les boutiques. Jusque là, il n’y a rien de dramatique, mais le vice se trouve à l’étape suivante. Lorsqu’un compte est créé sur PrestaShop, un email de confirmation est envoyé à la personne qui vient de s’inscrire. Si l’adresse email de cette personne est erronée ou si son serveur mail est bloqué, le marchand reçoit une notification mail lui expliquant que le mail de confirmation n’a pas pu être envoyé. C’est justement via ce processus que l’attaque se fait. Dans ce mail se trouve un lien d’attaque placé par le pirate et sur lequel il ne faut surtout pas cliquer.
Nous tenons à vous préciser que votre boutique ne craint absolument rien mise à part une pollution d’inscriptions de comptes clients fictifs que vous détecterez au premier coup d’œil. Vous pouvez supprimer ces comptes sans aucun problème.
La plateforme PrestaShop propose actuellement 2 solutions pour bloquer ces attaques.
1- Installer un captcha sur le formulaire d’inscription de votre PrestaShop
Cette solution est bonne, mais elle nécessite l’ajoute d’une étape supplémentaire à l’inscription.
2- Installer un patch pour bloquer l’utilisation d’URL dans les champs Nom et Prénom du formulaire d’inscription de votre PrestaShop.
Cette solution est également bonne, mais nécessite l’installation d’un module.
Chez Narobaz, nous avons étudié en détail cette attaque afin de pouvoir bloquer ces attaques au plus vite sur les sites e-commerce de nos clients et nous avons remarqué que le user agent était vide lors des attaques. Si vous vous demandez ce qu’est le user agent, c’est tout simplement ce qui correspond à la « signature » du navigateur et de la machine du client (en rouge dans les exemples ci-dessous).
Pour schématiser l’explication, voici les logs d’accès que nous avons en temps normal :
123.45.67.89 - - [27/Apr/2019:10:38:12 +0200] "GET /img/favicon.ico?1549370907 HTTP/1.0" 200 484 "https://url-de-la-page» "Mozilla/5.0 (iPhone; CPU iPhone OS 12_2 like Mac OS X) AppleWebKit/123.4.56 (KHTML, like Gecko) Version/12.1 Mobile/15E148 Safari/604.1"
Et lors des attaques, voici ce que nous avons :
37.235.49.244 - - [26/Apr/2019:04:46:21 +0200] "POST /connexion HTTP/1.0" 302 1127 "-" "-"
Les attaques utilisent à chaque fois des IPs différentes et le point commun entre tous les sites les attaques est l’absence de user agent. C’est pourquoi nous avons simplement mis une règle dans le htaccess refusant l’accès au site en l’absence de user agent, et cela en dehors de la zone réservée à PrestaShop pour éviter un écrasement. Aucun patch (module) à installer, aucune étape supplémentaire lors de l’inscription.
Voici la règle à ajouter dans votre fichier htaccess :
# rule to block bad user
SetEnvIfNoCase User-Agent "^$" bad_user
Deny from env=bad_user
Il faut savoir que 99,95% des utilisateurs normaux ont un user agent donc le fait d’appliquant ce blocage ne pose aucun problème à la boutique et au référencement SEO.
Il faut tout de même savoir que le pirate peut faire évoluer son système d’attaque en ajoutant un user agent aléatoire à son script. Si cela se produit, notre méthode de blocage ne fonctionnera plus et il faut passer par l’une des deux méthodes proposées par PrestaShop.
Si vous avez subi des attaques d’inscription spam et avez besoin d’aide pour protéger votre boutique en ligne PrestaShop de cette attaque, n’hésitez pas à nous contacter.