Faille de sécurité inscriptions intempestives de trolls et autres

  • Posts: 10
  • Thank you received: 1
1 year 8 months ago #349769

-- url of the page with the problem -- : www.site.urc.asso.fr/
-- HikaShop version -- : 4.7.1
-- Joomla version -- : 4.2.8
-- PHP version -- : 8.1
-- Error-message(debug-mod must be tuned on) -- : Pas de message d'erreur mais c'est une faille de sécurité

Bonjour,
Je tiens à vous signaler une faille de sécurité dans l'inscription des clients, c'est jusque 100 inscriptions par jour d'utilisateurs en provenance de Russie principalement.
Toutes les précautions sont prises dans le système Joomla. Ces inscriptions ne sont pas activées ni validées, mais cela pollue la liste des emails des clients, ma boite mail...
Merci de trouver une solution



Cordialement
Sylvie

Attachments:

Please Log in or Create an account to join the conversation.

  • Posts: 82863
  • Thank you received: 13372
  • MODERATOR
1 year 8 months ago #349770

Bonjour,

Une faille de sécurité, c'est quand il y a un bug dans une application qui permet à quelqu'un de faire des opérations qu'il n'aurait pas le droit de faire sans cette faille. Quand il y a une faille de sécurité dans une application, c'est un problème sérieux pour le développeur. Il doit produire rapidement un patch et sa réputation est en jeu.

Votre problème, c'est que vous avez des robots qui créent des comptes utilisateurs sur votre site. Cela ne consistue pas une faille. Ils utilisent une fonction qui est normalement utilisable pour faire ce qu'ils font. Le fait qu'ils le fassent à outrance est du spam.

Vous dites "Toutes les précautions sont prises dans le système Joomla.". Qu'entendez-vous par cela ? Les précautions à prendre en cas de spam de création de compte, c'est de mettre en place un système de captcha, et/ou d'autre système de protection contre cela. Je ne vois pas de système de captcha en place sur votre formulaire d'enregistrement.
Pour configurer cela sur le formulaire d'enregistrement d'HikaShop, nous fournissons un plugin ici :
www.hikashop.com/support/documentation/7...-with-recaptcha.html
Aussi, un système de captcha complexifie la tâche pour les robots mais est facilement contournable de nos jours. Je recommanderais plutôt une extension comme celle-ci:
extensions.joomla.org/extension/ospam-a-not/
Son fonctionnement permet d'éviter le spam plus efficacement, sans déranger les utilisateurs normaux.

Please Log in or Create an account to join the conversation.

  • Posts: 10
  • Thank you received: 1
1 year 8 months ago #349829

Bonjour

Le Captcha est installé dans tous les formulaires et maintenant en plus dans le formulaire HIKASHOP, on verra. Les inscriptions ne passent pas par une commande. J'utilise Community Builder pour la gestion des utilisateurs, je l'avais enlevé une journée et c'est là que j'ai eu 100 inscriptions en une journée. J'ai remis Community Builder, je n'ai eu que 2 inscriptions. J'ai aussi banni des dommaines comme .ru ou .site mais c'est sans effet, car ça ne passe pas par joomla.

Community Builder vérifie les emails bizarres, il faut cliquer sur un lien envoyé par mail et je dois ensuite valider l'inscription. Donc s'ils sont inscrits, c'est qu'ils arrivent à passer outre cette étape. Le serveur s'est déjà fait hacker à plusieurs reprises, je ne savais pas par où ils étaient passés.

Je viens de voir que c'est par HIKASHOP, et ce n'est pas en faisant une commande. Il n'y a pas d'autres moyens de s'inscrire que de passer une commande.

Ce phénomène n'est pas nouveau, cela fait au moins 3 ans que je l'ai remarqué. Comme début janvier le serveur s'est fait hacké, j'ai décidé de tout mettre à jour et donc de passer à Joomla 4 et de refaire une installation propre.

Donc étant donné qu'il n'y a pas moyen de s'inscrire en tant que client en dehors d'une commande, comment ces robots font ils ? Si on veut que la boutique soit visible, on ne peut pas réserver la boutique uniquement à des gens inscrits. J'espère que le Captcha jouera son rôle.

Merci pour votre réponse
Cordialement
Sylvie

Please Log in or Create an account to join the conversation.

  • Posts: 82863
  • Thank you received: 13372
  • MODERATOR
1 year 8 months ago #349831

Bonjour,

Community Builder vérifie les emails bizarres, il faut cliquer sur un lien envoyé par mail et je dois ensuite valider l'inscription.

Joomla et HikaShop ont la même fonction. Pour cela il faut configurer l'option de validation des nouveaux comptes utilisateurs dans la page des options du gestionnaire des utilisateurs Joomla.

Donc s'ils sont inscrits, c'est qu'ils arrivent à passer outre cette étape.

Non, justement. Avec la validation des nouveaux comptes, le compte est créé avant la validation. Par contre, le compte est créé désactivé. Et c'est uniquement si le lien de validation envoyé par email est utilisé que le compte est ensuite activé. En tout cas, c'est comme cela que cela fonctionne dans Joomla et dans HikaShop. J'imagine que c'est pareil dans CB.

Le serveur s'est déjà fait hacker à plusieurs reprises, je ne savais pas par où ils étaient passés.

Ok, mais le hack du site web et la création de faux comptes utilisateurs n'ont surement rien à voir ensemble.
Sur notre propre site, nous avons des dizaines de milliers de compte utilisateur qui ont été créés. La moitié d'entre eux sont des faux comptes ( certains ont même été validés, malgré le captcha et la validation par email requise). Pourtant, nous n'avons pas été hacké.
Sur notre site, les robots essaient de créer des faux comptes pour poster des messages sur le forum, pour faire la promotion de site de vente de médicaments, jeux d'argent, drogues, et autres activités illégales. Ce n'est pas parce que vous avez des faux comptes utilisateur sur votre site que vous allez vous faire hacker.
Au contraire, c'est surement la non mise à jour de Joomla et/ou des extensions présentes sur le site qui sont les responsables probable de votre hack antérieur. Donc votre première décision de refaire un site propre avec les dernières versions de Joomla et des extensions et surement la meilleur chose à faire, c'est sûr.

Donc étant donné qu'il n'y a pas moyen de s'inscrire en tant que client en dehors d'une commande, comment ces robots font ils ?

Je ne vois pas ce que vous voulez savoir. Si le seul moyen de créer un compte, c'est en faisant une commande, alors les robots passent surement par le formulaire d'enregistrement du passage en caisse pour créer leur faux comptes utilisateur. Mais cela ne signifie en rien qu'il y a un problème dans HikaShop.
Après, ce n'est pas parce que les faux comptes ne vont surement pas engendrer de problèmes que vous ne devriez rien faire. La validation des comptes par email, est une option. Le captcha est une autre option qui peut fonctionner. Et OSSpam-a-not est une troisième solution que nous recommandons souvent et avec laquelle d'autres utilisateurs nous ont rapportés de très bons résultats pour éviter les faux comptes.

Please Log in or Create an account to join the conversation.

  • Posts: 10
  • Thank you received: 1
1 year 8 months ago #349887

Bonjour,
Merci pour le message.

L'inscription sur le site se fait via CB. Il faut valider l'inscription en cliquant sur un lien dans l'email, et ensuite un administrateur doit activer le compte. Il n'y a pas possibilité de mettre un Captcha sauf en version payante très chère pour notre association. Les nombreuses inscriptions ont eu lieu lorsque j'avais enlevé CB pour mettre l'inscription via joomla. Il faut croire que CB filtre mieux les spams même sans Captcha. Depuis hier je n'ai eu que 2 inscriptions, c'est déjà mieux que plus de 100. Et j'ai donc ajouté l'option Captcha dans Hikashop.

Le dernier problème des hackers, cela a été de mettre un fichier php qui interdisait l'accès à tous les sites. Je ne sais absolument pas comment ils ont pu le faire dans la mesure où les comptes FTP ne sont pas paramétrés sur le serveur. Si effectivement les filtres Captcha et autres ont une influence sur la plupart des inscriptions, il y en a effectivement qui passent outre tous les filtres. Je pense que c'est par ce biais que les hackers sont passés.

Voilà je voulais simplement vous le signaler, nous ne sommes pas une entreprise, une simple association et au vu de nombreux messages vus sur les forums concernant ce problème de spams par lequel on peut inclure des sripts php ou autre, je pense qu'il faudrait résoudre ce problème. Vous n'êtes pas les seuls à être concernés... Pour moi c'est une porte ouverte, qu'il faut fermer.

Par exemple, Hikashop enregistre les IP, pourquoi ne pas développer un filtre par IP. Ou encore interdire les proxy. La plupart des inscriptions viennent de Russie, j'en ai eu aussi quelques unes de Chine. C'est la guerre cyber... Pourquoi mes sites sont ils visés ? Parce que nous sommes une association de radioamateurs et que nous avions des relations par nos liaisons radio avec ces pays et que nous avons des relations très proches avec l'Ukraine.

Pour moi via les spams il y a possibilité de transmettre des scripts ou encore de faire du phising, donc c'est une faille de sécurité. J'ai fait la même remarque à Joomla et aux autres extensions. Cela n'haltère en rien la confiance que je peux avoir aux informaticiens qui concoivent des logiciels, mais je pense qu'il faut prendre en compte le problème et parer cette éventualité. Car si mon site est hacké ce n'est en rien grave, notre association n'est pas vitale, je passe un temps certain à tout restaurer. Mais pour une entreprise cela peut avoir des conséquences graves. C'est donc ma participation citoyenne à la sécurité informatique.

Cordialement
Sylvie Delassus

Please Log in or Create an account to join the conversation.

  • Posts: 82863
  • Thank you received: 13372
  • MODERATOR
1 year 8 months ago #349889

Bonjour,

Il faut croire que CB filtre mieux les spams même sans Captcha.

Cela indique juste que le robots qui créée des faux comptes sur votre site est paramétré pour le formulaire d'enregistrement de Joomla / HikaShop et pas celui de CB, pour l'instant.
Mais si CB fourni une option de captcha en version payante, c'est bien car il y a aussi des robots qui peuvent cibler son formulaire d'enregistrement.

Je pense que c'est par ce biais que les hackers sont passés.

ce problème de spams par lequel on peut inclure des sripts php

Non, je peux vous guarantir que cela n'a rien à voir. Pour uploader des fichiers sur un site, il faut exploiter une faille de sécurité dans le code, ou pouvoir récupérer un accès avec suffisamment de privilèges. Pouvoir créer des faux comptes utilisateurs n'aide en rien à cela.

pourquoi ne pas développer un filtre par IP

Dans HikaShop Business, il y a le plugin "geolocation" qui permet d'interdire l'accès au site en fonction du pays de l'adresse IP. C'est une bonne façon de faire cela.

Ou encore interdire les proxy.

Ce n'est pas une bonne idée. Beaucoup de vrais utilisateurs passent par des proxys. Par exemple, dans l'université ou j'étais il y a 20 ans, nous passions par un proxy central à l'université pour accéder à internet.

Pour moi via les spams il y a possibilité de transmettre des scripts ou encore de faire du phising

Vous vous trompez. Vous confondez les choses.
Il y a en effet des emails qui sont identifiés comme "spam" qui peuvent inclure des liens pour hacker les récipiendaires ou faire du phishing.
Mais ici, le sujet est le spam de création de compte utilisateur. Ce n'est pas le même "spam".

je pense qu'il faut prendre en compte le problème et parer cette éventualité.

Le hacking est en effet un problème. Il est important de développer des logiciels et utiliser ces logiciels de manière à empêcher cela. Je suis tout à fait d'accord avec vous là dessus. Nous prenons la sécurité des sites utilisant HikaShop très au sérieux. D'où je fait que j'ai pris le temps de vous répondre point par point pour essayer de vous expliquer les problématiques en jeu et ce que vous pouvez faire pour vous prémunir.

Please Log in or Create an account to join the conversation.

Time to create page: 0.079 seconds
Powered by Kunena Forum