Politique de sécurité de nos modules Prestashop
Dernière modification le 30/05/2025
Signaler une vulnérabilité
La sécurité de nos modules Prestashop et de nos clients ou de nos utilisateurs dans le cas de modules gratuits est primordiale. Aussi nous encourageons les chercheurs en sécurité à mener des analyses sur nos modules et à nous signaler toute vulnérabilité identifiée, dans le respect des bonnes pratiques de divulgation responsable.
Nous nous engageons à identifier et corriger toute vulnérabilité, et à communiquer de manière transparente avec les parties concernées tout au long du processus.
Si vous pensez avoir découvert une vulnérabilité dans l'un de nos modules, vous pouvez nous la signaler de manière responsable via le formulaire de contact section 5 - Sécurité. Afin d'identifier et de pouvoir corriger au plus vite la vulnérabilité, merci de préciser :
- Nom du module
- Version du module
- Configuration du module (capture d'écran si possible)
- Version de Prestashop
- Type de vulnérabilité (XSS, SQL Injection, CSRF, RCE, etc.)
- Étapes précises pour reproduire l’exploit :
- Instructions pas à pas
- Code (script, SQL, js...)
- Captures d’écran ou vidéos si possible
- Impact (accès backoffice, vol de données, accès non autorisé, élévation de privilèges…).
- Environnement :
- Version de PHP
- Serveur web (Apache, Nginx, etc.)
- Système d’exploitation (Mac OS, Linux, Windows…).
Nous vous informons par ailleurs, que les découvertes non reproductibles ou n'étant pas directement liées à nos modules seront ignorées.
Notre politique de gestion des vulnérabilités
Conformément à la Charte TouchWeb pour une cybersécurité responsable, notre équipe applique les principes suivants :
- Accusé de réception de tout signalement pertinent sous 7 jours maximum, CVSS ≥ 7.0
- Analyse d'impact et planification d'un correctif sous 30 jours maximum
- Publication d'un avis de sécurité avec CVE si le score CVSS est ≥ 7.5
- Aucune correction ne sera publiée de manière silencieuse.
En parallèle, nous prenons les engagements suivants pour garantir une gestion responsable et éthique des vulnérabilités :
- Ne pas poursuivre les chercheurs agissant de bonne foi, notamment dans le cadre du programme YesWeHack géré par TouchWeb SAS
- Garantir qu'aucun accord de confidentialité, y compris en marque blanche, ne puisse entraver la publication transparente d'un avis de sécurité avec identifiant CVE, dans le respect de l'état de l'Art
Nous avons bien conscience que cette transparence est essentielle pour permettre aux tiers concernés (agences, marchands, etc.) de satisfaire à leurs obligations de conformité, notamment dans le cadre du standard PCI-DSS ou de l'une de ses versions allégées, comme la SAQ-A.
Autorisation de publication
Nous autorisons expressément la société TouchWeb SAS à publier les informations relatives aux vulnérabilités corrigées de nos modules sur son site officiel, conformément aux engagements de la Charte de cybersécurité responsable.
Cette publication comprend :
- Un identifiant CVE associé à la vulnérabilité
- Une note de sécurité décrivant clairement le problème et sa résolution
- Les versions concernées et la version corrigée
- Un correctif facile à déployer lorsque la mise à jour n'est pas possible
- Toute information utile permettant aux utilisateurs et agences de se protéger rapidement
Prévention
Comme il est par essence très difficile d'identifier des failles de sécurité sans une expertise et des outils d'analyse de code spécifiques. L'agence propose un script gratuit open source, qui prend très peu de ressources et vous alerte par mail en cas de modification ou création de fichier dans votre site. En le faisant tourner toutes les 5 minutes par exemple, cela permet d'être alerter en cas d'intrusion et de pouvoir analyser les logs du serveur web afin d'identifier d'où la faille peut provenir.
Publications
Vous trouverez ci-dessous la liste des vulnérabilités de sécurité connues et corrigées :
Date | Module | Version | CWE | CVSS | CVE | |
---|---|---|---|---|---|---|
Impactée | Corrigée | |||||