SessionReaper vulnerability hits Magento and Adobe Commerce stores
NOUVEAUVous pouvez désormais écouter les articles de Fox News !
Un chercheur en sécurité a découvert une grave faiblesse dans le logiciel qui alimente des milliers de sites de commerce électronique. La plateforme, appelée Magento, et sa version payante Adobe Commerce, présentent un bug qui permet aux attaquants de s’introduire dans des sessions d’achat actives. Certains attaquants peuvent même prendre le contrôle de l’intégralité du magasin.
La faille est connue sous le nom de SessionReaper. Il permet aux pirates de se faire passer pour de vrais clients sans avoir besoin d’un mot de passe. Une fois à l’intérieur, ils peuvent voler des données, passer de fausses commandes ou installer des outils qui collectent les détails des cartes de crédit.
Inscrivez-vous à mon rapport CyberGuy GRATUIT
Recevez mes meilleurs conseils techniques, mes alertes de sécurité urgentes et mes offres exclusives directement dans votre boîte de réception. De plus, vous aurez un accès instantané à mon Ultimate Scam Survival Guide – gratuit lorsque vous rejoignez mon CYBERGUY.COM bulletin
Pourquoi cette attaque est-elle si grave ?
Le problème commence dans la partie du système qui gère la manière dont un magasin communique avec d’autres services en ligne. Parce que le logiciel ne vérifie pas correctement les informations qu’il reçoit, il fait parfois confiance à des données alors qu’il ne devrait pas le faire. Les pirates en profitent en envoyant de faux fichiers de session que le magasin considère comme réels.
Les chercheurs de SecPod préviennent que des attaques réussies peuvent conduire au vol de données client, à de faux achats et même au contrôle total du serveur du magasin.
Une fois la méthode d’attaque partagée publiquement, les cybercriminels ont immédiatement commencé à l’utiliser. Les experts en sécurité de Sansec ont rapporté que plus de 250 boutiques en ligne ont été compromises en une seule journée. Cela montre à quelle vitesse les attaques peuvent se propager une fois qu’une vulnérabilité devient publique.
Les pirates exploitent une nouvelle faille appelée SessionReaper pour détourner les sessions d’achat actives sur des milliers de sites de commerce électronique exécutant Adobe Commerce et Magento. (Kurt Knutsson)
Pourquoi de nombreux magasins ne sont-ils toujours pas protégés ?
Adobe a publié une mise à jour de sécurité le 9 septembre pour résoudre le problème. Quelques semaines plus tard, environ 62 % des magasins concernés ne l’ont toujours pas installé. Certains propriétaires de magasins craignent qu’une mise à jour ne perturbe les fonctionnalités de leur site. D’autres ne connaissent tout simplement pas la gravité du risque.
Chaque boutique non corrigée reste une porte ouverte aux attaquants souhaitant voler des informations ou installer du code malveillant.
DE GRANDES ENTREPRISES, DONT GOOGLE ET DIOR, FRAPPÉES PAR UNE VIOLATION MASSIVE DE DONNÉES DE SALESFORCE
Comment rester en sécurité lors de vos achats en ligne ?
Même si les propriétaires de magasins sont responsables de résoudre le problème, vous pouvez toujours prendre des mesures intelligentes pour vous protéger lorsque vous effectuez des achats en ligne. Ces actions peuvent vous aider à détecter rapidement les dangers et à protéger vos informations personnelles.
1) Recherchez les panneaux d’avertissement
Faites toujours attention au comportement d’un site Web. Si une page semble étrange, se charge lentement ou affiche des messages d’erreur, cela peut signifier que quelque chose ne va pas dans les coulisses. Recherchez le petit symbole de cadenas dans la barre d’adresse qui indique que le site utilise le cryptage HTTPS. S’il est manquant ou si le site vous redirige vers une page inconnue, arrêtez et fermez immédiatement l’onglet du navigateur. Faites confiance à votre instinct si quelque chose ne va pas.
2) Soyez prudent avec liens de courrier électronique et utilisez un service de suppression de données
Les cybercriminels utilisent souvent de faux e-mails promotionnels ou des publicités qui ressemblent à de véritables offres de magasin. Au lieu de cliquer sur les liens dans les messages ou les bannières, saisissez l’adresse Web du magasin directement dans votre navigateur pour éviter les pages de phishing conçues pour voler vos informations de connexion ou vos informations de carte. Étant donné que des attaques telles que SessionReaper peuvent exposer vos données personnelles à des marchés criminels, envisagez d’utiliser un service de suppression de données réputé qui analyse et supprime en permanence vos informations privées, telles que votre adresse, votre numéro de téléphone et votre adresse e-mail, des sites de courtiers en données. Cela réduit votre risque d’usurpation d’identité si vos informations ont été divulguées via une boutique en ligne compromise.
Bien qu’aucun service ne puisse garantir la suppression complète de vos données d’Internet, un service de suppression de données est vraiment un choix judicieux. Ils ne sont pas bon marché, et votre vie privée non plus. Ces services font tout le travail à votre place en surveillant activement et en effaçant systématiquement vos informations personnelles sur des centaines de sites Web. C’est ce qui me donne la tranquillité d’esprit et s’est avéré être le moyen le plus efficace d’effacer vos données personnelles d’Internet. En limitant les informations disponibles, vous réduisez le risque que des fraudeurs croisent les données provenant de violations avec des informations qu’ils pourraient trouver sur le dark web, ce qui rend plus difficile pour eux de vous cibler.
Découvrez mes meilleurs choix de services de suppression de données et obtenez une analyse gratuite pour savoir si vos informations personnelles sont déjà disponibles sur le Web en visitant Cyberguy.com
Obtenez une analyse gratuite pour savoir si vos informations personnelles sont déjà disponibles sur le Web : Cyberguy.com
Les équipes de cybersécurité de SecPod et Sansec ont suivi plus de 250 magasins piratés dans les 24 heures suivant la publication de l’exploit, démontrant la rapidité avec laquelle ces attaques se sont propagées. (Kurt “CyberGuy” Knutsson)
3) Utiliser logiciel antivirus puissant
Une protection antivirus solide constitue votre garde silencieuse en ligne. Choisissez un logiciel réputé qui offre une protection en temps réel, des alertes de navigation sécurisée et des mises à jour automatiques. Un programme antivirus puissant peut détecter le code malveillant qui tente de s’exécuter sur votre appareil, bloquer les sites dangereux et vous alerter des menaces potentielles. Cela ajoute une autre couche de défense cruciale lors de la visite de boutiques en ligne qui peuvent ne pas être entièrement sécurisées.
La meilleure façon de vous protéger contre les liens malveillants qui installent des logiciels malveillants, accédant potentiellement à vos informations privées, est d’installer un logiciel antivirus puissant sur tous vos appareils. Cette protection peut également vous alerter des e-mails de phishing et des escroqueries par ransomware, protégeant ainsi vos informations personnelles et vos actifs numériques.
Obtenez ma sélection des meilleurs gagnants de la protection antivirus 2025 pour vos appareils Windows, Mac, Android et iOS sur Cyberguy.com
4) Utilisez des options de paiement sécurisées
Dans la mesure du possible, choisissez des services de paiement qui ajoutent une couche de protection supplémentaire entre votre compte bancaire et la boutique en ligne. Les plateformes comme PayPal, Apple Pay ou Google Pay ne partagent pas votre numéro de carte avec le détaillant. Cela réduit le risque de vol de vos informations si le magasin est compromis. Ces passerelles de paiement offrent également une protection contre les litiges si un achat s’avère frauduleux.
5) Achetez auprès de détaillants de confiance
Tenez-vous-en aux magasins jouissant d’une solide réputation. Les marques connues offrent généralement une meilleure sécurité et des temps de réponse plus rapides en cas de problème. Avant d’acheter sur un nouveau site Web, vérifiez ses avis sur des sites de consommateurs de confiance. Recherchez des signes de crédibilité tels que des coordonnées claires, une conception professionnelle et des options de paiement vérifiées. Quelques minutes de recherche peuvent vous épargner des semaines de frustration.
TRANSUNION DEVIENT LA DERNIÈRE VICTIME D’UNE VAGUE MAJEURE DE CYBERATTAQUES LIÉES À LA SALESFORCE, 4,4 M D’AMÉRICAINS TOUCHÉS
6) Gardez vos appareils à jour
Les mises à jour peuvent sembler ennuyeuses, mais elles constituent l’un des moyens les plus efficaces de protéger vos données. Assurez-vous que votre ordinateur, votre smartphone et votre navigateur Web disposent tous des derniers correctifs de sécurité installés. Les mises à jour corrigent souvent les types exacts de failles que les pirates utilisent pour propager des attaques comme SessionReaper. Activez les mises à jour automatiques si vous le pouvez afin que vos appareils restent protégés sans effort supplémentaire.
7) Utilisez des éléments uniques, mots de passe forts
Si vous créez des comptes sur des sites commerciaux, assurez-vous que chacun dispose de son propre mot de passe fort. Évitez d’utiliser le même mot de passe sur plusieurs plates-formes. Pensez à utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe longs et aléatoires. De cette façon, si un compte est compromis, vos autres connexions restent en sécurité.
Ensuite, vérifiez si votre courrier électronique a été exposé lors de violations passées. Notre gestionnaire de mots de passe n°1 (voir Cyberguy.com) Pick inclut un scanner de violation intégré qui vérifie si votre adresse e-mail ou vos mots de passe sont apparus dans des fuites connues. Si vous découvrez une correspondance, modifiez immédiatement tous les mots de passe réutilisés et sécurisez ces comptes avec de nouvelles informations d’identification uniques.
Découvrez les meilleurs gestionnaires de mots de passe évalués par des experts de 2025 sur Cyberguy.com
8) Allumez authentification à deux facteurs
Si un site ou un service de paiement propose une authentification à deux facteurs, activez-la. Cela ajoute une deuxième étape de sécurité, comme un code envoyé sur votre téléphone ou généré par une application. Même si des pirates informatiques volent votre mot de passe, ils ne pourront pas accéder à votre compte sans cette deuxième vérification.
Même quelques semaines après qu’Adobe a publié un correctif critique pour la vulnérabilité SessionReaper, près des deux tiers des boutiques en ligne concernées ne sont toujours pas protégées, exposant ainsi les données des clients et les informations de paiement à un risque élevé de vol. (CyberGuy.com)
9) Évitez les Wi-Fi publics pour les achats
UNE VIOLATION DES DONNÉES D’ASSURANCE DES AGRICULTEURS EXPOSE 1,1 MIL D’AMÉRICAINS
Les réseaux Wi-Fi publics dans des endroits comme les cafés, les aéroports et les hôtels ne sont souvent pas sécurisés. Évitez de saisir des informations de paiement ou de vous connecter à des comptes lorsque vous êtes connecté à des réseaux publics. Si vous devez effectuer un achat loin de chez vous, utilisez une connexion de données mobile ou un VPN fiable pour crypter votre activité.
10) Surveillez vos relevés bancaires et de crédit
Vérifiez régulièrement vos états financiers pour détecter toute activité inhabituelle. De petits frais non autorisés peuvent être les premiers signes d’une fraude. Signalez immédiatement toute transaction suspecte à votre banque ou à votre société de carte de crédit afin qu’elle puisse geler votre compte ou émettre une nouvelle carte.
11) Signaler toute activité suspecte
Si vous remarquez quelque chose d’étrange pendant ou après un achat en ligne, agissez rapidement. Contactez le service client du magasin pour signaler ce que vous avez vu. Vous devez également informer votre fournisseur de paiement ou votre société de carte de crédit afin qu’il puisse bloquer les transactions non autorisées. Un signalement précoce peut aider à prévenir d’autres dommages et à alerter les autres acheteurs des risques potentiels.
Les principaux points à retenir de Kurt
L’attaque SessionReaper montre à quelle vitesse les menaces en ligne peuvent apparaître et combien de temps elles peuvent persister lorsque les mises à jour sont ignorées. Même les magasins les plus connus peuvent devenir dangereux du jour au lendemain. Pour les détaillants, l’installation rapide des correctifs est essentielle. Pour les acheteurs, rester vigilants et choisir des méthodes de paiement sécurisées sont les meilleurs moyens de rester protégés.
CLIQUEZ ICI POUR TÉLÉCHARGER L’APPLICATION FOX NEWS
Feriez-vous encore vos achats en ligne si vous saviez que des pirates informatiques pourraient se cacher derrière la page de paiement d’un magasin ? Faites-le-nous savoir en nous écrivant à Cyberguy.com
Inscrivez-vous à mon rapport CyberGuy GRATUIT
Recevez mes meilleurs conseils techniques, mes alertes de sécurité urgentes et mes offres exclusives directement dans votre boîte de réception. De plus, vous aurez un accès instantané à mon Ultimate Scam Survival Guide – gratuit lorsque vous rejoignez mon CYBERGUY.COM bulletin
Copyright 2025 CyberGuy.com. Tous droits réservés.
