Cyberattaque de ma Boutique en Ligne

Cyberattaque de ma Boutique en Ligne
Mardi 6 mai 2025

Cyberattaque sur un site e-commerce


Lundi 28 avril, il est 16h12. Une société leader européen de la vente de microscopes électronique nous appelle car son site de e-commerce a été piraté.

19h11, l'incident est clos, le CEO en est quitte pour une peur bleue. Le responsable est identifié. Que s'est-il passé ?

Récit d'une intervention riche d'enseignements.
 

NetPilote sécurise, protège et restaure votre site e-commerce


Tout commence par un appel de la responsable Marketing qui apprend de ses clients que le site de la boutique en ligne de la société a été piraté. Cette société française établie en Ile-de-France est leader de la conception de d'optiques de précision et revendeur exclusif de microscopes d'un des leaders mondiaux de l'industrie optique et optoélectronique.

Il est 16h12, l'intervention débute.

Nos objectifs :

  • Mettre le site en sécurité en préservant les données et les éléments de preuve
  • Collecter les informations, confronter les hypothèses, analyser les pistes probables
  • Identifier avec certitude la cause du piratage
  • Conserver les éléments permettant le dépôt de plainte
  • Remettre la boutique en ligne en exploitation
     

1. Stabiliser la situation dans le calme 


Un binôme est mis en place et est isolé de toute sollicitation extérieure, les téléphones sont coupés, les autres collaborateurs se mettent à l'écart. Chacun des deux intervenants va agir en verbalisant chacune des actions entreprises et faire valider chaque opération par son binôme.

En situation de crise, il est essentiel de prendre le temps de ralentir un instant les horloges pour permettre ensuite de décider rapidement.

La boutique en ligne est mise en maintenance directement au niveau du serveur d'hébergement
 

2. Mettre en sécurité


Les mots de passe des différents comptes FTP sont immédiatement modifiés. Les autres sites web situés sur le même hébergement sont isolés pour éviter toutes contamination éventuelle. Un archivage des fichiers et des bases de données de la boutique en ligne est réalisé et mis en sécurité. Les archives des jours précédents sont identifiées et remontées afin de disposer d'une version réputée saine.

La situation est maintenant stabilisée et les éléments de preuve sont sécurisés. L'investigation peut débuter.

A ce stade, les hypothèses sont :

  • L'utilisation d'un compte FTP (file transfert protocole) pour placer directement des fichiers pirates sur le serveur,
  • L'exploitation d'une faille de sécurité du logiciel de gestion de la boutique en ligne
  • La présence d'un fichier dormant qui aura été activé
     

3. Agir en transparence 


L'hébergeur est mis au courant et est sollicité en priorité pour fournir les logs d'accès FTP sur les 30 derniers jours. Cette attitude permet de s'assurer de la totale collaboration de l'hébergeur qui comprend rapidement qu'une procédure d'investigation maîtrisée est en cours. Il s'agit de vérifier s'il y a eu un chargement de fichier anormal dans les heures ou jours qui ont précédé l'incident et dans ce cas, quel compte FTP aurait été utilisé.

Rapidement, le constat est fait qu'aucun accès direct suspect n'a eu lieu dans le mois précédent l'incident. On peut donc écarter cette piste sauf à supposer qu'un virus dormant a été installé depuis plus d'un mois. La suite de l'analyse va révéler l'origine du piratage et elle est inattendue.

Comment est-elle révélée ? 
 

4. Penser comme un hacker


En règle générale, un hacker tente d'effacer toute trace qui permettrait de le pister. Partant de ce principe, nous allons chercher non pas les fichiers en trop? mais les fichiers en moins. Pour cela nous allons comparer deux à deux tous les fichiers des archives de la boutique en ligne, entre l'archive réputée bonne et le site dans son dernier état.

Nos outils de comparaison puissants permettent d'identifier des fichiers qui sont apparus puis ont disparu. Ils révèlent des adresses de site internet, des identifiants et des clés de régie publicitaire qui auront procuré des bénéfices financiers aux pirates, informations qui seront précieuses pour le dépôt de plainte. 
 

5. Rester agile intellectuellement 


Nous validons une nouvelle hypothèse : l'installation d'un module non certifié quelques jours avant l'incident.

Nous identifions que deux jours auparavant, à 23h, a été installé le module myprestaloyalty qui ne provient pas de la plateforme officielle. Ce module comporte une backdoor ou porte dérobée qui permet ensuite de charger n'importe quel fichier sur l'hébergement et par la suite de potentiellement récupérer les codes d'accès à la base de données.

Vous voulez savoir comment ce module s'est retrouvé sur le site ? Le plus simplement du monde à partir du compte de gestion d'un ancien collaborateur parti depuis longtemps. Ledit collaborateur n'est peut-être pas directement l'auteur de l'installation, disons que ses identifiants ont été utilisés. 
 

6. Refondre la Cybersécurité interne 


Limiter les accès des collaborateurs tant dans les privilèges de gestion que dans le temps. Ce collaborateur n'avait pas besoin d'être superadministrateur (installation de modules) pour simplement gérer les commandes. Son compte aurait dû être dévalidé dès le jour de son départ. Et son mot de passe aurait dû avoir une durée de vie limitée.
 

7. Evaluer les risques juridiques 


La base de données a été analysée par recomposition de l'historique des transaction pour s'assurer que les informations n'avaient pas été altérées. Aucun fichier de lecture de l'intégralité de la base de données n'a été détecté, les données clients n'ont pas été diffusées. Il est cependant probable que les identifiants de la base de données se seront trouvées sur le darkweb, attendant qu'un autre pirate prenne la suite.

Les mesures de protection et la rapidité de l'intervention ont permis de couper l'évolution du piratage. Les comptes des autres collaborateurs ont été passés au crible et les accès ont été restreints ou supprimés lorsqu'il n'étaient pas indispensables.

L'ensemble des éléments de preuve et la copie des fichiers piratés sont remis sur CD ROM au propriétaire du site avec une notice explicative lui permettant de faire un dépôt de plainte circonstancié. D'une part, une assurance professionnelle peut prévoir la couverture des frais d'investigation en cas de piratage informatique. D'autre part, c'est une démarche préalable à un signalement à la CNIL en cas de suspicion de fuite de données personnelles. Il faudrait en pareil cas faire un couriel d'information à chaque client pour l'informer des données le concernant ayant potentiellement été diffusées. En l'espèce, cette dernière démarche ne sera pas nécessaire.
 

NetPilote sécurise votre boutique en ligne


En moins de 3 heures, le site était sécurisé, l'attaque comprise, les preuves archivées et le site prêt à être relancé dans une version saine. L'entreprise repart avec un plan de durcissement de sa cybersécurité, un rapport complet pour dépôt de plainte et la tranquillité retrouvée.

Chez NetPilote, nous ne vendons pas du rêve mais des solutions concrètes face aux crises numériques. Nos sauvegardes récurrentes nous permettent de vous assurer une rapidité de traitement de la crise et de vous accompagner dans vos démarches juridiques

Et quand votre boutique en ligne vend du Viagra, nous faisons en sorte qu'elle reste sérieuse.

Partager

vendredi 9 mai 2025
Hébergement Web pour votre Site Internet avec Infomaniak
Hébergement Web pour votre Site Internet avec Infomaniak
Infomaniak, leader de l’hébergement web écologique et sécurisé, est le partenaire de NetPilote pour accompagner les entreprises vers un numérique responsable. L’hébergement web Infomaniak est reconnu.

vendredi 18 avril 2025
Optimiser le Nom de Domaine et Améliorer le Référencement
Optimiser le Nom de Domaine et Améliorer le Référencement
Votre Nom de Domaine influence directement votre visibilité en ligne et votre référencement naturel (SEO). Google prend en compte plusieurs critères : la pertinence du nom, sa lisibilité et son extension.

mardi 6 mai 2025
Cyberattaque de ma Boutique en Ligne
Cyberattaque de ma Boutique en Ligne
Face à une cyberattaque de votre boutique en ligne, NetPilote gère la crise en apportant son expertise technique et juridique grâce à une méthodologie éprouvée au service de votre sécurité informatique.

vendredi 11 avril 2025
Rédaction Web avec les Experts SEO de l'Agence Web Netpilote
Rédaction Web avec les Experts SEO de l'Agence Web Netpilote
L'agence web NetPilote crée des contenus web performants, conçus pour répondre aux attentes des moteurs de recherche et des internautes. Découvrez pourquoi déléguer votre rédaction à des professionnels.

jeudi 24 avril 2025
Création du Site de l’Association Créacity International
Création du Site de l’Association Créacity International
L'agence web Netpilote réalise le nouveau site Internet de l'association Créacity International qui cultive l'art, la passion et l'humain : une collaboration basée sur la compétence et la confiance.

vendredi 4 avril 2025
Salon All4Customer : IA, SEO et expérience client en 2025
Salon All4Customer : IA, SEO et expérience client en 2025
Présente au salon All4Customer 2025, l’agence web NetPilote revient sur les stratégies en IA, SEO et marketing digital qui redéfinissent l’expérience client B2B

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
Partager
NetPilote
Politique Qualité
Notre Equipe
Partenaires
Implantation
Carrières
Services
Nom de domaine
Responsive Web Design
E-Commerce
Vidéo par drone
Marketing Digital
SEO
Réseaux sociaux
Rédaction Web
carte
NetPilote
41/43 Rue des Chantiers
78000 Versailles
FRANCE
Tél : +33 1 39 63 20 50

Email : contact@netpilote.com
Copyright © 2025
NETPILOTE
Tous droits réservés
Mentions légales
Nous contacter


+33 1 39 63 20 50
Appelez-nous !


Écrivez-nous !