🌍 Pour un écosystème PrestaShop plus sûr et plus responsable
Les vulnérabilités PrestaShop font naturellement partie du cycle de vie d'un logiciel. Les reconnaître, les corriger, et les publier de manière responsable constitue un acte de professionnalisme et un engagement éthique envers les marchands, les agences, et l'ensemble de la communauté PrestaShop.
C'est dans cette optique que nous proposons cette charte, à destination des éditeurs de modules PrestaShop souhaitant s'inscrire dans une démarche de transparence et de confiance.
Si vous êtes un marchand utilisant PrestaShop soucieux de la sécurité des données de vos clients, nous vous encourageons à privilégier les éditeurs adhérents à cette charte. Ils s'engagent à faire preuve de transparence en cas de problème de sécurité, ce qui vous permet d'honorer vos obligations contractuelles auprès de votre banque.
Pour ceux d'entre vous qui pensent que les éditeurs ayant connu des vulnérabilités sont à risque, nous vous encourageons vivement à lire cet article sur les meilleurs modules PrestaShop - il pourrait bien changer votre perception.
Cette charte s'inscrit dans la continuité des annonces faites lors de la Dev PrestaShop Conference 2024, laquelle a fait l'objet d'un article sur le blog officiel de PrestaShop (ici pour la version originale française).
Seuls les concepteurs vendant sur la PrestaShop Marketplace et adhérant à cette charte seront, pour des raisons juridiques (réciprocité de la clause d'inattaquabilité imposée par YesWeHack), éligibles à notre programme de Bug Bounty lancé sur YesWeHack, en partenariat avec PrestaShop SA.
Cette initiative, entièrement gratuite, est offerte par TouchWeb dans un esprit de contribution responsable à l'écosystème PrestaShop. Aucun frais n'est demandé pour adhérer à la charte, utiliser le badge, ou figurer parmi les adhérents.
🎯 Objectifs de la charte
- Encourager la publication responsable des vulnérabilités corrigées.
- Normaliser les bonnes pratiques de sécurité au sein de l'écosystème PrestaShop.
- Créer un climat de confiance durable entre éditeurs, marchands et professionnels de la sécurité.
🔐 Conformité PCI DSS : un enjeu pour tous les marchands
Tous les marchands qui acceptent des paiements en ligne sont soumis au standard PCI DSS (Payment Card Industry Data Security Standard), ou à l'une de ses versions allégées - au minimum la SAQ-A - lorsqu'ils utilisent un prestataire de paiement en redirection ou en iframe (ex : PayPal, Stripe, PayPlug, etc.).
La section 6.2 du standard PCI-DSS impose l'application rapide des correctifs de sécurité pour toutes les vulnérabilités identifiées, incluant donc les modules PrestaShop utilisés par le marchand. Cette exigence implique :
- Que les éditeurs rendent publiques les vulnérabilités corrigées, avec un minimum d'information technique
- Que ces informations soient exploitables par des VMS (système de gestion de vulnérabilités), permettant aux marchands, agences ou infogéreurs d'identifier et de prioriser les patchs à appliquer
La charte vise donc également à permettre aux professionnels de l'e-commerce d'honorer leurs obligations contractuelles envers leurs banques ou prestataires de services de paiement.
Pour les plus techniques d'entre vous : la tolérance actuelle accordée par les banques sur les SAQ découle d'une méconnaissance des spécificités des CMS E-Commerce. Si les éditeurs et intégrateurs ne se responsabilisent pas rapidement, cette tolérance pourrait disparaître, et faire basculer de nombreux marchands du SAQ A vers le SAQ A-EP, bien plus exigeant en termes de conformité. Cette évolution deviendra inévitable dès lors que les banques prendront conscience de la nécessité de contrôler l'intégrité des pages de paiement pour contrer les webskimmers modernes. Les attaques évoluent : les XSS classiques avec exfiltration off-site cèdent la place à des RCE incluant une SSRF, où l'exfiltration s'effectue on-site, rendant les politiques CSP inopérantes. Seule une sécurité active, avec des outils tels qu'un WAF, un IPS et un FIM, permet aujourd'hui de répondre à cette menace.
📜 Engagements de l'adhérent
En adhérant à cette charte, vous vous engagez à :
1. 🔍 Reconnaître que les vulnérabilités existent
Aucun logiciel n'est exempt de défaut. Une faille découverte, corrigée et publiée de manière responsable est le signe d'un éditeur sérieux - pas d'un échec.
2. 💬 Respecter les bonnes pratiques de divulgation
Vous vous engagez à répondre de manière respectueuse et constructive à toute personne signalant une faille dont le score CVSS, validé par TouchWeb, est ≥ 7.5 (si possible ≥ 4.0) en évitant le déni ou les menaces juridiques.
Un retour initial doit être formulé dans un délai de 7 jours calendaires maximum à compter de la réception du signalement, afin d'établir un contact, accuser réception et amorcer la prise en charge.
Un correctif, si possible sous la forme d'un patch, doit être fourni sous 30 jours calendaires maximum et faire l'objet d'une publication officielle sous 3 à 12 mois maximum (variable suivant complexité de mise à jour de l'écosystème et gravité).
3. 📝 Publier chaque vulnérabilité corrigée de manière responsable
Vous vous engagez à documenter clairement chaque correctif de sécurité dont le score CVSS ≥ 7.5 (si possible ≥ 4.0) incluant :
- le périmètre de versions affectées
- une description claire de la vulnérabilité incluant son impact
- si possible, un patch le plus simple possible permettant aux agences et infogérances de corriger sans mettre à jour le module
- l'obtention d'un identifiant CVE et la publication d'une note de sécurité correspondante
Une part importante des marchands ne sait pas ce qu'est un MCS (Maintien en Condition de Sécurité). En conséquence, nous constatons régulièrement des pratiques discutables concernant la mise à jour des modules, même lorsque des vulnérabilités critiques ont été corrigées.
D'un point de vue juridique, en tant qu'éditeurs de modules, vous êtes protégés par le copyleft hérité de la licence de PrestaShop lui-même. En revanche, ce n'est pas le cas des agences et infogérants, qui assument pleinement la responsabilité juridique du PAR (Plan d'Atténuation des Risques) dans les environnements clients (TMA, infogérance).
C'est pourquoi nous vous demandons, par solidarité professionnelle, de proposer un correctif sour la forme d'un patch simple et rapide à appliquer lorsqu'un correctif de sécurité est disponible. Une mise à jour complète sera, dans bien des cas, refusée par le client final : par prudence, par manque de budget, ou par méconnaissance des enjeux. Un patch ciblé permet d'agir, vite et bien.
TouchWeb peut vous aider : nous sommes également développeurs PHP, et pouvons vous accompagner dans la rédaction d'un correctif minimal, stable et diffusable, pour que votre réponse soit à la hauteur des enjeux - techniques, mais aussi éthiques.
Il faut toutefois souligner un antagonisme structurel : publier un patch est indispensable, mais cela revient aussi à exposer publiquement le vecteur de la vulnérabilité, permettant mécaniquement à tout attaquant de niveau intermédiaire à senior d'en déduire un PoC (Proof of Concept - une charge malveillante permettant d'exploiter la faille).
C'est une tension bien connue : corriger, c'est déjà divulguer partiellement.
TouchWeb SAS n'a jamais publié de PoC ciblé, sauf en cas d'exploitation avérée détectée via nos outils d'écoute des signaux faibles. Dans ce cas, sa diffusion devient un levier défensif, notamment pour les solutions techniques qui ne respectent pas les recommandations du projet OWASP CRS, et qui reposent sur des mécanismes de liste noire nécessitant des signatures concrètes pour fonctionner efficacement.
4. 🚫 Ne jamais corriger une faille de manière silencieuse
Les utilisateurs doivent être informés de tout correctif de sécurité, sans barrière d'accès ni opacité.
Les concepteurs de modules produisant en marque blanche s'engagent à imposer contractuellement à leurs donneurs d'ordre la publication des vulnérabilités corrigées via une note de sécurité détaillée et référencée sous un identifiant CVE. La responsabilité de la transparence ne peut être transférée ou contournée sous prétexte de confidentialité commerciale.
La transparence en matière de sécurité ne doit jamais être entravée par des clauses de confidentialité.
En cas de doutes sur l'impact d'une potentielle vulnérabilité, TouchWeb s'engage à vous aider à faire une analyse d'impact via un scoring CVSS.
5. 📦 Fourniture des modules sur demande
Vous autorisez les DevSecOps de TouchWeb à vous réclamer, à tout moment, une copie complète d'un ou plusieurs de vos modules, dans le cadre d'une démarche curative ou préventive de sécurité.
Cette demande s'inscrit dans le respect des engagements de cette charte et ne saurait être utilisée à d'autres fins. Elle est conditionnée par une stricte confidentialité de l'analyse, sauf en cas de vulnérabilité souffrant d'un score CVSS ≥ 7.5.
6. 🛡️Obligation d'une Politique de Sécurité Publique
Les concepteurs de modules s'engagent à maintenir une page publiquement accessible (désignée comme leur “page sécurité”), référencée sur cette page par TouchWeb.
Cette page, indexable par les SERP (Google, Bing, etc), doit refléter leur posture en matière de cybersécurité PrestaShop et inclure explicitement les engagements suivants :
- Définir une procédure claire permettant de signaler une vulnérabilité de manière responsable.
- S'engager à adopter une politique de gestion des vulnérabilités documentée, transparente et accessible.
- Garantir l'absence de poursuites contre les chercheurs ou contributeurs agissant de bonne foi dans le cadre d'une divulgation responsable, notamment dans le cadre de YesWeHack (réciprocité de la clause d'inattaquabilité des chercheurs).
- Publier une note de sécurité associée à un identifiant CVE lorsque le score CVSS validé par TouchWeb est ≥ 7.5 (≥ 4.0 si politiquement possible).
- Autoriser formellement TouchWeb SAS à référencer les vulnérabilités sur https://www.touchweb.fr
- Afficher un lien vers la présente charte accompagné du badge de réassurance TouchWeb
Cette démarche favorise un climat de confiance avec les chercheurs en sécurité, les agences et les utilisateurs finaux, et s'inscrit dans une logique de transparence proactive.
Si vous souhaitez mieux comprendre pourquoi TouchWeb porte cette initiative, plutôt que PrestaShop SA, cet article sur la sécurité des modules PrestaShop vous apportera des éléments de réponse.
Pour les plus techniques d'entre vous : à partir du 1er janvier 2027, le seuil à partir duquel une vulnérabilité sera rendue publique sera abaissé à un score CVSS ≥ 6.5, afin d'accélérer le nettoyage de l'écosystème, notamment des vulnérabilités affectant les back-offices, des XSS de type 1 (Reflected XSS) et des failles CSRF. Ce changement est volontairement différé, car nous estimons que le niveau d'éducation moyen du marché reste insuffisant et que les résistances sur ces sujets sont encore trop nombreuses. Nous comptons sur les adhérents de la présente charte pour contribuer activement à la sensibilisation de leurs équipes et à la réduction de ces frictions, afin que ces vulnérabilités soient, à terme, systématiquement identifiées et traitées de manière professionnelle.
7. 🤝 Engagement de Contribution Active à l'initiative
Les adhérents de la charte reconnaissent que la crédibilité de cette démarche repose sur un engagement réciproque entre TouchWeb et les éditeurs.
À ce titre, ils s'engagent à soutenir activement la diffusion, la légitimité et l'adoption de la charte, notamment par les actions suivantes :
- Relayer la charte sur leurs supports numériques (site, documentation, modules - PrestaShop MarketPlace autorise à titre exceptionnel le lien de la charte compte tenu de son importance).
- Participer à la promotion d'une culture de sécurité responsable dans l'écosystème PrestaShop.
- Favoriser les échanges constructifs et les retours d'expérience permettant d'améliorer collectivement les bonnes pratiques.
- Coopérer de bonne foi avec TouchWeb en cas d'incident, d'audit ou de sollicitation liée à une vulnérabilité affectant leur code.
Tout relais jugé inefficace ou purement symbolique - incluant notamment l'usage de la mention nofollow - pourra entraîner l'invalidation de l'adhésion à la charte, car il sera considéré comme contraire à l'esprit de collaboration sincère et d'entraide réciproque attendu des adhérents.
Cette dynamique d'engagement mutuel vise à renforcer la professionnalisation de l'écosystème, dans l'intérêt commun des éditeurs, agences, marchands et chercheurs en sécurité.
L'objectif final de cette charte est de sensibiliser les marchands, dès les premières étapes de leur projet, à l'importance de choisir des éditeurs qui appliquent des politiques de sécurité rigoureuses - adaptées à un monde en constante évolution, et aux défis que représente l'intelligence artificielle en matière de cybersécurité.
🧾 Comment devenir adhérent ?
L'adhésion à la charte est entièrement libre et gratuite. Elle ne nécessite ni formulaire, ni signature, ni inscription préalable.
Prérequis : vous devez être un éditeur de modules PrestaShop.
Pour devenir adhérent, il vous suffit de :
- 🛡️ Publier une page de sécurité publique sur votre site, conforme aux engagements décrits dans la charte
- 🔗 Inclure dans cette page un lien vers la charte officielle TouchWeb, afin de permettre une vérification de l'engagement et de contribuer à faire connaître l'initiative.
- 📧 Nous signaler cette page (par email ou via le formulaire de contact ci-dessous)
Une fois votre page vérifiée et indexée par les SERP, vous serez ajouté à la liste des éditeurs engagés.
Aucune validation contractuelle n'est nécessaire : la publication de la page vaut engagement. C'est la transparence qui fait foi.
Vous trouverez un exemple ici : Exemple d'une page sécurité
NB : la désindexation de votre page de sécurité des SERP vaut pour invalidation de votre adhésion.
🛠️ Ce que TouchWeb vous propose
En tant qu'adhérent, vous n'êtes pas seuls. TouchWeb vous accompagne de manière concrète pour rendre cette démarche possible et bénéfique :
✅ Aide au scoring CVSS
TouchWeb vous aide à formaliser un score CVSS objectif (Common Vulnerability Scoring System), basé sur des critères standardisés : vecteur d'accès, complexité, privilèges requis, impact, etc.
✅ Accompagnement à la publication CVE
TouchWeb vous accompagne étape par étape dans la rédaction d'une note de sécurité et la réclamation d'un identifiant CVE, garantissant une diffusion responsable et utile pour la communauté.
✅ Visibilité positive
Les adhérents de cette charte pourront :
- Afficher un badge "Cybersécurité Responsable" sur leurs modules
- Être référencés sur cette page, valorisant leur démarche auprès des marchands et intégrateurs
- Être valorisé auprès de notre réseau partenaires et de nos clients
©️ Usage du badge « Cybersécurité Responsable »
L'utilisation du badge « Cybersécurité Responsable » (image ci-dessus) est strictement encadrée. Ce badge constitue un indicateur d'engagement éthique dans la sécurisation des modules PrestaShop et dans la transparence des pratiques de développement.
Toute utilisation de ce badge sur une page Web doit obligatoirement inclure un lien cliquable directement sur l'image, pointant vers la page officielle de la charte de cybersécurité responsable.
Ce lien permet aux agences et marchands de vérifier la légitimité de l'engagement du concepteur et de consulter les principes détaillés auxquels il adhère. L'absence de ce lien constitue une rupture des conditions d'utilisation du badge et pourra entraîner un retrait de l'autorisation d'usage.
Ce badge est exclusivement réservé aux concepteurs ayant officiellement adhéré à la charte et étant listés sur la page de référence.
📣 Contribution à l'évangélisation de la cybersécurité PrestaShop
Nous comptons sur les adhérents pour promouvoir activement cette démarche.
- Faire connaître le badge : En mettant en avant le badge sur leurs supports de communication (fiche produit, documentation, site internet, etc.), les adhérents participent à sensibiliser les marchands, intégrateurs et prestataires à l'importance de la cybersécurité PrestaShop.
- Contribuer à un écosystème plus sûr : Cette action collective vise à faire évoluer les standards de qualité et de sécurité de l'écosystème PrestaShop, en renforçant la confiance des utilisateurs et en valorisant les acteurs engagés.
- Devenir ambassadeur de la sécurité : Chaque adhérent devient ainsi un acteur clé de la professionnalisation et de la sécurisation de PrestaShop, au bénéfice de toute la communauté.
🤝 Éditeurs engagés
Les éditeurs suivants ont officiellement adhéré à la charte TouchWeb pour une cybersécurité PrestaShop responsable :
| ✅ | Éditeur | Boutique officielle |
PrestaShop MarketPlace |
Politique de sécurité |
|---|---|---|---|---|
| ✅ | 2N Technologies | |||
| ✅ | Adilis | |||
| ✅ | Aikini | |||
| ✅ | Algo Factory | |||
| ✅ | Ambris | |||
| ✅ | Arpa3 | |||
| ✅ | Arnaud Merigeau | |||
| ✅ | Autour du Digital | |||
| ✅ | BusinessTech | |||
| ✅ | CibleWeb | |||
| ✅ | Com'onSoft | |||
| ✅ | Comptoir du code | |||
| ✅ | Dream me up | |||
| ✅ | Ébewè | |||
| ✅ | Ecomiz | |||
| ✅ | EtherCreation | |||
| ✅ | Home Made.io | |||
| ✅ | idnovate.com | |||
| ✅ | JPresta | |||
| ✅ | KerAwen | |||
| ✅ | Kiwik | |||
| ✅ | Kixell Tag | |||
| ✅ | La Bulle | |||
| ✅ | LibraSoft | |||
| ✅ | Loulou66 | |||
| ✅ | Lyondev | |||
| ✅ | Mediacom87 | |||
| ✅ | Mintfull Agency | |||
| ✅ | NDK Design | |||
| ✅ | Nemesis tech | |||
| ✅ | Netenvie | |||
| ✅ | Opart | |||
| ✅ | PhenixInfo | |||
| ✅ | PrestaEdit | |||
| ✅ | PrestaModule | |||
| ✅ | PrestaPlugins | |||
| ✅ | PrestaRocket | |||
| ✅ | PrestaSafe | |||
| ✅ | 📌 PrestaShop | |||
| ✅ | RealDev | |||
| ✅ | Reversia | |||
| ✅ | SeriousWeb | |||
| ✅ | Sitolog | |||
| ✅ | Softizy | |||
| ✅ | Soledis | |||
| ✅ | StoreCommander | |||
| ✅ | TuniSoft Solutions | |||
| ✅ | Ukoo / EveryParts | |||
| ✅ | Web Premiere |
⏳ Éditeurs en cours d'adhésion
| ✅ | Éditeur | Boutique officielle |
PrestaShop MarketPlace |
Politique de sécurité |
|---|---|---|---|---|
| 202-ecommerce | En création | |||
| Divioseo | En création | |||
| DM Concept | En création | |||
| E-Frogg | En création | |||
| HiPresta | En création | |||
| MDWeb | En création | |||
| Nukium | En création | |||
| ScaleDEV | En création | |||
| TimActive | En création |