Charte pour une cybersécurité PrestaShop responsable

---

🌍 Pour un écosystème PrestaShop plus sûr et plus responsable

Les vulnérabilités PrestaShop font naturellement partie du cycle de vie d'un logiciel. Les reconnaître, les corriger, et les publier de manière responsable constitue un acte de professionnalisme et un engagement éthique envers les marchands, les agences, et l'ensemble de la communauté PrestaShop.

C'est dans cette optique que nous proposons cette charte, à destination des concepteurs de modules PrestaShop souhaitant s'inscrire dans une démarche de transparence et de confiance.

Cette charte s'inscrit dans la continuité des annonces faites lors de la Dev PrestaShop Conference 2024, laquelle a fait l'objet d'un article sur le blog officiel de PrestaShop (ici pour la version originale française).

Seuls les concepteurs vendant sur la PrestaShop Marketplace et adhérant à cette charte seront, pour des raisons juridiques (réciprocité de la clause d'inattaquabilité imposée par YesWeHack), éligibles à notre programme de Bug Bounty lancé sur YesWeHack, en partenariat avec PrestaShop SA.

Cette initiative, entièrement gratuite, est offerte par TouchWeb dans un esprit de contribution responsable à l'écosystème PrestaShop. Aucun frais n'est demandé pour adhérer à la charte, utiliser le badge, ou figurer parmi les adhérents.

---

🎯 Objectifs de la charte

• Encourager la publication responsable des vulnérabilités corrigées.
• Normaliser les bonnes pratiques de sécurité au sein de l'écosystème PrestaShop.
• Créer un climat de confiance durable entre éditeurs, marchands et professionnels de la sécurité.

🔐 Conformité PCI DSS : un enjeu pour tous les marchands

Tous les marchands qui acceptent des paiements en ligne sont soumis au standard PCI DSS (Payment Card Industry Data Security Standard), ou à l'une de ses versions allégées - au minimum la SAQ-A - lorsqu'ils utilisent un prestataire de paiement en redirection ou en iframe (ex : PayPal, Stripe, PayPlug, etc.).

La section 6.2 du standard PCI-DSS impose l'application rapide des correctifs de sécurité pour toutes les vulnérabilités identifiées, incluant donc les modules PrestaShop utilisés par le marchand. Cette exigence implique :

• Que les éditeurs rendent publiques les vulnérabilités corrigées, avec un minimum d'information technique
• Que ces informations soient exploitables par des VMS (système de gestion de vulnérabilités), permettant aux marchands, agences ou infogéreurs d'identifier et de prioriser les patchs à appliquer

La charte vise donc également à permettre aux professionnels de l'e-commerce d'honorer leurs obligations contractuelles envers leurs banques ou prestataires de services de paiement.

📜 Engagements de l'adhérent

En adhérant à cette charte, vous vous engagez à :

1. 🔍 Reconnaître que les vulnérabilités existent

Aucun logiciel n'est exempt de défaut. Une faille découverte, corrigée et publiée de manière responsable est le signe d'un éditeur sérieux - pas d'un échec.

2. 💬 Respecter les bonnes pratiques de divulgation

Vous vous engagez à répondre de manière respectueuse et constructive à toute personne signalant une faille dont le score CVSS, validé par TouchWeb, est ≥ 7.5 (si possible ≥ 4.0) en évitant le déni ou les menaces juridiques.

Un retour initial doit être formulé dans un délai de 7 jours calendaires maximum à compter de la réception du signalement, afin d'établir un contact, accuser réception et amorcer la prise en charge.

Un correctif, si possible sous la forme d'un patch, doit être fourni sous 30 jours calendaires maximum et faire l'objet d'une publication officielle sous 3 à 12 mois maximum (variable suivant complexité de mise à jour de l'écosystème et gravité).

3. 📝 Publier chaque vulnérabilité corrigée de manière responsable

Vous vous engagez à documenter clairement chaque correctif de sécurité dont le score CVSS ≥ 7.5 (si possible ≥ 4.0) incluant :

• le périmètre de versions affectées
• une description claire de la vulnérabilité incluant son impact
• si possible, un patch le plus simple possible permettant aux agences et infogérances de corriger sans mettre à jour le module
• l'obtention d'un identifiant CVE et la publication d'une note de sécurité correspondante

Une part importante des marchands ne sait pas ce qu'est un MCS (Maintien en Condition de Sécurité). En conséquence, nous constatons régulièrement des pratiques discutables concernant la mise à jour des modules, même lorsque des vulnérabilités critiques ont été corrigées.

D'un point de vue juridique, en tant qu'éditeurs de modules, vous êtes protégés par le copyleft hérité de la licence de PrestaShop lui-même. En revanche, ce n'est pas le cas des agences et infogérants, qui assument pleinement la responsabilité juridique du PAR (Plan d'Atténuation des Risques) dans les environnements clients (TMA, infogérance).

C'est pourquoi nous vous demandons, par solidarité professionnelle, de proposer un correctif sour la forme d'un patch simple et rapide à appliquer lorsqu'un correctif de sécurité est disponible. Une mise à jour complète sera, dans bien des cas, refusée par le client final : par prudence, par manque de budget, ou par méconnaissance des enjeux. Un patch ciblé permet d'agir, vite et bien.

TouchWeb peut vous aider : nous sommes également développeurs PHP, et pouvons vous accompagner dans la rédaction d'un correctif minimal, stable et diffusable, pour que votre réponse soit à la hauteur des enjeux - techniques, mais aussi éthiques.

4. 🚫 Ne jamais corriger une faille de manière silencieuse

Les utilisateurs doivent être informés de tout correctif de sécurité, sans barrière d'accès ni opacité.

Les concepteurs de modules produisant en marque blanche s'engagent à imposer contractuellement à leurs donneurs d'ordre la publication des vulnérabilités corrigées via une note de sécurité détaillée et référencée sous un identifiant CVE. La responsabilité de la transparence ne peut être transférée ou contournée sous prétexte de confidentialité commerciale.

La transparence en matière de sécurité ne doit jamais être entravée par des clauses de confidentialité.

En cas de doutes sur l'impact d'une potentielle vulnérabilité, TouchWeb s'engage à vous aider à faire une analyse d'impact via un scoring CVSS.

5. 📦 Fourniture des modules sur demande

Vous autorisez les DevSecOps de TouchWeb à vous réclamer, à tout moment, une copie complète d'un ou plusieurs de vos modules, dans le cadre d'une démarche curative ou préventive de sécurité.

Cette demande s'inscrit dans le respect des engagements de cette charte et ne saurait être utilisée à d'autres fins. Elle est conditionnée par une stricte confidentialité de l'analyse, sauf en cas de vulnérabilité souffrant d'un score CVSS ≥ 7.5.

6. 🛡️Obligation d'une Politique de Sécurité Publique

Les concepteurs de modules s'engagent à maintenir une page publiquement accessible (désignée comme leur “page sécurité”), référencée sur cette page par TouchWeb.

Cette page, indexable par les SERP (Google, Bing, etc), doit refléter leur posture en matière de sécurité PrestaShop et inclure explicitement les engagements suivants :

• Définir une procédure claire permettant de signaler une vulnérabilité de manière responsable.
• S'engager à adopter une politique de gestion des vulnérabilités documentée, transparente et accessible.
• Garantir l'absence de poursuites contre les chercheurs ou contributeurs agissant de bonne foi dans le cadre d'une divulgation responsable, notamment dans le cadre de YesWeHack (réciprocité de la clause d'inattaquabilité des chercheurs).
• Publier une note de sécurité associée à un identifiant CVE lorsque le score CVSS validé par TouchWeb est ≥ 7.5 (≥ 4.0 si politiquement possible).
• Autoriser formellement TouchWeb SAS à référencer les vulnérabilités sur https://www.touchweb.fr
• Afficher un lien vers la présente charte accompagné du badge de réassurance TouchWeb.

Cette démarche favorise un climat de confiance avec les chercheurs en sécurité, les agences et les utilisateurs finaux, et s'inscrit dans une logique de transparence proactive.

Si vous souhaitez mieux comprendre pourquoi TouchWeb porte cette initiative, plutôt que PrestaShop SA, cet article sur la sécurité des modules PrestaShop vous apportera des éléments de réponse.

---

🧾 Comment devenir adhérent ?

L'adhésion à la charte est entièrement libre et gratuite. Elle ne nécessite ni formulaire, ni signature, ni inscription préalable.

Prérequis : vous devez être un éditeur de modules PrestaShop, distribuant vos modules via la PrestaShop Marketplace ou votre propre site.

Pour devenir adhérent, il vous suffit de :

• 🛡️ Publier une page de sécurité publique sur votre site, conforme aux engagements décrits dans la charte
• 🔗 Inclure dans cette page un lien vers la charte officielle TouchWeb, afin de permettre une vérification de l'engagement et de contribuer à faire connaître l'initiative.
• 📧 Nous signaler cette page (par email ou via le formulaire de contact ci-dessous)

Une fois votre page vérifiée, vous serez ajouté à la liste des éditeurs engagés.

Aucune validation contractuelle n'est nécessaire : la publication de la page vaut engagement. C'est la transparence qui fait foi.

Vous trouverez un exemple ici : Exemple d'une page sécurité

---

🛠️ Ce que TouchWeb vous propose

En tant qu'adhérent, vous n'êtes pas seuls. TouchWeb vous accompagne de manière concrète pour rendre cette démarche possible et bénéfique :

✅ Aide au scoring CVSS

TouchWeb vous aide à formaliser un score CVSS objectif (Common Vulnerability Scoring System), basé sur des critères standardisés : vecteur d'accès, complexité, privilèges requis, impact, etc.

✅ Accompagnement à la publication CVE

TouchWeb vous accompagne étape par étape dans la rédaction d'une note de sécurité et la réclamation d'un identifiant CVE, garantissant une diffusion responsable et utile pour la communauté.

✅ Visibilité positive

Les adhérents de cette charte pourront :

• Afficher un badge "Cybersécurité Responsable" sur leurs modules
• Être référencés sur cette page, valorisant leur démarche auprès des marchands et intégrateurs
• Être valorisé auprès de notre réseau partenaires et de nos clients

©️ Usage du badge « Cybersécurité Responsable »

L'utilisation du badge « Cybersécurité Responsable  » (image ci-dessus) est strictement encadrée. Ce badge constitue un indicateur d'engagement éthique dans la sécurisation des modules PrestaShop et dans la transparence des pratiques de développement.

Toute utilisation de ce badge sur une page Web doit obligatoirement inclure un lien cliquable directement sur l'image, pointant vers la page officielle de la charte de cybersécurité responsable.

Ce lien permet aux agences et marchands de vérifier la légitimité de l'engagement du concepteur et de consulter les principes détaillés auxquels il adhère. L'absence de ce lien constitue une rupture des conditions d'utilisation du badge et pourra entraîner un retrait de l'autorisation d'usage.

Ce badge est exclusivement réservé aux concepteurs ayant officiellement adhéré à la charte et étant listés sur la page de référence.

📣 Contribution à l'évangélisation de la cybersécurité PrestaShop

Nous comptons sur les adhérents pour promouvoir activement cette démarche.

• Faire connaître le badge : En mettant en avant le badge sur leurs supports de communication (fiche produit, documentation, site internet, etc.), les adhérents participent à sensibiliser les marchands, intégrateurs et prestataires à l'importance de la cybersécurité PrestaShop.
• Contribuer à un écosystème plus sûr : Cette action collective vise à faire évoluer les standards de qualité et de sécurité de l'écosystème PrestaShop, en renforçant la confiance des utilisateurs et en valorisant les acteurs engagés.
• Devenir ambassadeur de la sécurité : Chaque adhérent devient ainsi un acteur clé de la professionnalisation et de la sécurisation de PrestaShop, au bénéfice de toute la communauté.

---

🤝 Éditeurs engagés

Les éditeurs suivants ont officiellement adhéré à la charte TouchWeb pour une sécurité PrestaShop responsable :

---

⏳ Éditeurs en cours d'adhésion

Nous contactons actuellement les concepteurs de module. Les pages sécurités doivent être implémentées avant le 31/05/2025.

Envoyer votre message