Skip to main content

Alerte Sécurité Magento

Image représentative de l'article

Un Malware Dormant Depuis 6 Ans Activé dans 21 Extensions — Comment Protéger Votre Boutique

🛑 Une cyberattaque d’une ampleur inédite frappe actuellement l’écosystème Magento. Selon les chercheurs de Sansec, plus de 500 boutiques ont été compromises via des modules contenant un malware dormant injecté il y a 6 ans, mais activé en avril 2025.

Certaines victimes incluent des entreprises de renom, dont une multinationale valorisée à 40 milliards de dollars.

🧨 Un cas rarissime de dormance logicielle

Les pirates ont dissimulé une porte dérobée (backdoor) dans 21 modules Magento populaires, publiés par des éditeurs connus. Le code malveillant, inactif depuis 2019, a été activé récemment pour prendre le contrôle silencieux de boutiques en ligne, dans une attaque dite de “supply chain”.

📋 Les modules Magento compromis

Voici la liste des extensions concernées, classées par éditeur :

ÉditeurModules infectésRéponse officielle
TigrenAjaxsuite, Ajaxcart, Ajaxlogin, Ajaxcompare, Ajaxwishlist, MultiCODDément toute compromission
MeetanshiImageClean, CookieNotice, Flatshipping, FacebookChat, CurrencySwitcher, DeferJS, OutofstockNotifierAdmettent le piratage serveur, mais pas celui des modules
Magesolution (MGS)Lookbook, StoreLocator, Brand, GDPR, Portfolio, Popup, DeliveryTime, ProductTabs, BlogAucune réponse officielle à ce jour
WeltpixelGoogleTagManager (suspecté, à confirmer)Enquête en cours

🧬 Comment fonctionne le Malware ?

Les fichiers infectés sont souvent nommés :

  • License.php
  • LicenseApi.php
  • registration.php

Dans ces fichiers, on trouve ce type de code :

protected function adminLoadLicense($licenseFile) {
    include_once($licenseFile); // Exécution de code distant et arbitraire
}

Cela permet aux pirates de charger et exécuter du code à distance sur votre serveur.

Des clés de sécurité spécifiques à chaque éditeur ont été identifiées, ce qui suggère une compromission ciblée et structurée.

🔎 Pourquoi une activation en 2025 ?

Sansec évoque trois hypothèses principales :

  • L’activation a été planifiée pour coïncider avec une période commerciale clé.
  • Il s’agirait d’une phase de test à grande échelle.
  • Les accès seraient revendus à d’autres groupes cybercriminels.

Dans tous les cas, la discrétion et le timing montrent un niveau de préparation rarement observé.

🛡️ Ce que vous devez faire maintenant (Checklist)

1. Diagnostiquer

  • Scanner votre boutique avec eComscan.
  • Chercher les fichiers suspects :
find app/code/ -name "License*.php"

2. Neutraliser

  • Supprimez immédiatement les fichiers infectés
  • Révoquez tous les accès admin récents

3. Réinstaller et renforcer

  • Supprimez les modules impactés et réinstallez depuis une source fiable
  • Mettez en place un système de monitoring des fichiers

4. Signaler (en cas de fuite de données)

  • Obligatoire en cas d’exposition de données personnelles : CNIL / RGPD

🌍 Pourquoi cet incident change tout

Cette attaque met en lumière plusieurs failles structurelles :

  • ❌ Les marketplaces d’extensions manquent de contrôles sérieux
  • ❌ Les éditeurs n’ont aucune obligation d’audit externe
  • ❌ Les e-commerçants installent des modules sans vérifier le code

« Plus une plateforme est modulaire, plus sa surface d’attaque s’élargit. » – DataSecurityBreach.fr

🔚 5 Leçons à retenir

  1. Même un petit module peut mettre en danger toute la boutique
  2. Le malware “dormant” devient une arme stratégique
  3. L’open-source nécessite plus de contrôle, pas moins
  4. Les éditeurs doivent rendre des comptes
  5. Un audit de sécurité régulier n’est plus une option, mais une nécessité

Conclusion

Cette affaire prouve que la confiance aveugle dans les extensions n’est plus viable. E-commerçants, vous devez exiger de vos prestataires des audits de sécurité réguliers et éviter d’installer des modules inutiles ou douteux.

L’expertise TBD Group à votre service

Chez TBD Group, la sécurité n’est pas une option. C’est une composante essentielle de nos prestations. Que vous soyez en phase de création, de migration ou d’optimisation de votre boutique en ligne, notre équipe vous accompagne dans :

  • L’audit de sécurité de votre infrastructure existante
  • La mise à jour ou le remplacement de composants vulnérables
  • La mise en conformité avec les bonnes pratiques et les exigences RGPD
  • Le renforcement de vos politiques de sécurité applicative

Notre objectif est clair : vous permettre de vous concentrer sur votre croissance, pendant que nous sécurisons votre plateforme.

Sources :