Decathlon le spécialiste du sport s’est lancé dans le challenge du Live Bug Bounty afin de déceler les erreurs de son site e-commerce. 27 erreurs y ont été trouvées, parmi lesquelles 3 sont de nature critique. Ces erreurs ont été décelées par les hackers éthiques de YesWeHack qui ont automatiquement débuté la réparation de certaines d’entre elles. Internet et plus particulièrement l’e-commerce n’a pas cessé de progresser depuis des années. La sécurité ainsi que la sûreté des sites internet ne cessent de préoccuper des masses. Malgré le progrès croissant du domaine de l’e-commerce, Decathlon après avoir passé le test de sécurité s’est vu détecter plusieurs erreurs. Découvrons plus amplement le cas de Decathlon.
27 vulnérabilités ont été découvertes par des hackers éthiques sur le site e-commerce de Decathlon
Les sites de e-commerce et les systèmes d’information de Decathlon ont abrité une chasse croissante des failles de sécurité. À l’occasion d’un événement international qui s’est tenu à Lille le Live Bug Bounty a eu lieu. Il s’est tenu au salon de la cybersécurité FIC au cours de l’année 2022.
Decathlon y a tenu une véritable chasse aux failles possibles de son site e-commerce en direct. Seuls les hackers éthiques de la plate-forme YesWeHack pouvaient participer au Live Bug Bounty. Mais qu’est-ce qu’un hacker éthique ?
Le hacker éthique est encore appelé pirate éthique et opère dans le domaine de la sécurité informatique. Il s’agit d’une personne qui pratique le hacking mais uniquement dans une optique bienveillante. Le pirate éthique ou white hats dans l’exercice de ses fonctions aura notamment à :
- analyser ;
- protéger ;
- détecter des failles.
Ils sont à différencier des black hats qui opèrent seulement pour réaliser des œuvres malveillantes. Au cours du Live Bug Bounty, 27 failles ont été détectées et parmi elles 3 sont critiques.
L’organisation du Live Bug Bounty
Les équipes de communication du Decathlon ont collaboré avec YesWeHack pour l’organisation de cet événement le 7 et 8 juin 2022. Qui est YesWeHack ? Elle est une plate-forme qui facilite la mise en relation entre des pirates éthiques et des sociétés. Cette plate-forme est mise sur pied par Guillaume Vassault-Houlière et Manuel Dorne pour opérer depuis 2013 dans l’univers des Bug Bounty.
Les pirates éthiques sont rémunérés à travers des primes à la faille ou des chasses aux bugs réalisées pour le compte d’entreprises. Depuis un an déjà Decathlon a souscrit à un programme privé sur YesWeHack et ce programme porte le nom de Bug Bounty. Decathlon s’est donc prêté au jeu pendant deux jours pour mettre à jour les failles qui étaient présentes sur leur site.
Les résultats obtenus du challenge ont été mis sur le blog de YesWeHack. Vous y trouverez une description complète photos à l’appui de ce Live Bug Bounty.
Les erreurs détectées sur le site e-commerce de Decathlon créé sur PrestaShop
Suite à un travail effectué nuit et jour durant une trentaine d’heures, plusieurs failles ont été détectées sur ce site réalisé sur PrestaShop. PrestaShop c’est une application du web open source vous offrant la possibilité de créer une boutique en ligne en vue de réaliser de l’e-commerce. Les erreurs détectées étaient notamment un Remote Code Execution et une injection SQL.
Normalement un total de 64 signalements avait été proposé par les hackers, signalements que les équipes de Decathlon ont dû analyser d’abord. Par la suite 27 failles ont été acceptés par les équipes de Decathlon avec 3 qui étaient critiques. Le début de leurs corrections a démarré avant même la fin de cet événement.
Leur mise en exécution a commencé par être effectif sur place. Heureusement il n’y a eu aucune perturbation enregistrée car les hackers se sont assurés de respecter les consignes du programme.
Les hackers éthiques ou chapeaux blancs de la plate-forme YesWeHack se sont mis en collaboration avec Decathlon lors du salon de la cybersécurité FIC en 2022. Cet événement du 7 au 8 juin a permis de déceler 27 erreurs sur le site e-commerce de Decathlon dont 3 graves. Ce site d’e-commerce avait pourtant été créé sur PrestaShop une plate-forme respectable de la place. Ces erreurs ont de suite commencé par être corrigées.
Commentaires