{"id":582,"date":"2009-10-09T08:59:04","date_gmt":"2009-10-09T07:59:04","guid":{"rendered":"https:\/\/www.magavenue.com\/blog\/?p=582"},"modified":"2009-10-09T08:59:04","modified_gmt":"2009-10-09T07:59:04","slug":"attention-votre-module-paybox-pour-prestashop-nest-peut-etre-pas-assez-securise","status":"publish","type":"post","link":"https:\/\/www.magavenue.com\/blog\/prestashop\/attention-votre-module-paybox-pour-prestashop-nest-peut-etre-pas-assez-securise\/","title":{"rendered":"Attention votre module Paybox pour Prestashop n'est peut \u00eatre pas assez s\u00e9curis\u00e9"},"content":{"rendered":"

Nous avons eu r\u00e9cemment l’occasion de d\u00e9couvrir chez un de nos clients un module Paybox comportant de nombreuses failles de s\u00e9curit\u00e9s. Nous tenions \u00e0 alerter nos lecteurs sur le fait que ce module est disponible dans les forums d\u00e9di\u00e9s \u00e0 Prestashop. Il se peut aussi que le module fourni par un prestataire, ait une de ces failles.
\nCes failles ne sont pas seulement des erreurs de codes malencontreuses (comme une variable mal prot\u00e9g\u00e9e), mais belle et bien des erreurs dans la construction du module Prestashop. D’apr\u00e8s le manuel que fournit Paybox \u00e0 tout utilisateur, pour communiquer avec la banque, certaines fa\u00e7ons de faire sont \u00e0 proscrire.
\nDans cette optique nous avons d\u00e9velopp\u00e9 un module Paybox qui respecte les remarques que nous faisons le long de cet article (module actuellement en production chez certains de nos clients). Nous proposons celui-ci pour votre boutique Prestashop au prix de 100 \u20ac, avec installation, mise \u00e0 jour et support gratuit. Vous pouvez commander la prestation directement sur notre boutique<\/a>.
\n<\/strong><\/p>\n

Comment savoir si le module Paybox pour Prestashop que vous utilisez poss\u00e8de ces failles :<\/h2>\n

Il vous suffit de simuler un achat sur votre boutique pour arriver \u00e0 la page : Choisissez votre mode de paiement. Lorsque vous \u00eates sur cette page, afficher le code source de la page (avec le bouton droit de la souris).
\nFaites une recherche, sur celle-ci, du texte suivant : form id =\u00a0\u00bbpaybox_form\u00a0\u00bb si vous obtenez des donn\u00e9es comme celle ci-dessous pour votre formulaire, c’est que votre module Paybox n’est pas s\u00e9curis\u00e9 :<\/p>\n

<form id=\u201dpaybox_form\u201c class=\u201dhidden\u201c method=\u201dpost\u201c action=\u201d\/cgi-bin\/modulev2.cgi\u201c>
\n<input type=\u201dhidden\u201c value=\u201d1\u201c name=\u201dPBX_MODE\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201d1999888\u201c name=\u201dPBX_SITE\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201d98\u201c name=\u201dPBX_RANG\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201d3\u201c name=\u201dPBX_IDENTIFIANT\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201d19703\u201c name=\u201dPBX_TOTAL\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201d978\u201c name=\u201dPBX_DEVISE\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201d3;CP;01-10-09-22:06:47\u201c name=\u201dPBX_CMD\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201da.a@a.com\u201c name=\u201dPBX_PORTEUR\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201dpbx_amount:M;ref:R;pbx_auth:A;pbx_trans:T;pbx_error:E;pbx_sign:K\u201c name=\u201dPBX_RETOUR\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201dPOST\u201c name=\u201dPBX_RUF1\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201dhttps:\/\/localhost\/prestashop12\/modules\/paybox\/validation.php\u201c name=\u201dPBX_EFFECTUE\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201dhttps:\/\/localhost\/prestashop12\/modules\/paybox\/validation.php\u201c name=\u201dPBX_REFUSE\u201c\/>
\n<input type=\u201dhidden\u201c value=\u201dhttps:\/\/localhost\/prestashop12\/order.php\u201c name=\u201dPBX_ANNULE\u201c\/>
\n<\/form><\/div>\n

Paybox vous recommande clairement de ne pas faire cela (A la page 13 de leur manuel de mise en service<\/a>). En fait vous passez en clair toutes vos donn\u00e9es d’identifications et de paiements dans votre page html. Une personne malicieuse pourrait alors modifier ces donn\u00e9es pour passer une transaction ou intercepter les donn\u00e9es envoy\u00e9es vers le serveur Paybox. Il lui suffirait par exemple de changer le montant pour un montant bien inf\u00e9rieur. Le serveur validerait la transaction, et vous accepteriez une commande avec un montant inf\u00e9rieur \u00e0 celui qu’elle devrait avoir. Avec ce genre de pratique si jamais, vous ne v\u00e9rifiez pas bien chacune de vos commandes, vous allez livrer votre client, pour un montant diff\u00e9rent de ce qu’il devrait \u00eatre.
\nDe plus dans le module d’installation fournis par Paybox il y a un certain nombre fonctions \u00e0 utiliser lors du retour des informations de Paybox vers votre boutique, mais ce n’est pas le cas dans le module en question.<\/p>\n

Fonctionnalit\u00e9 du module Paybox pour Prestashop :<\/h2>\n

Pour ceux qui ne connaissent pas l’utilit\u00e9 d’un module Paybox : Installer un module Paybox pour votre boutique PrestaShop, vous permet d’accepter les transactions de vos clients par carte bancaire sur votre boutique PrestaShop. Vous b\u00e9n\u00e9ficiez ainsi d’un TPE s\u00e9curis\u00e9 pour faire l’interface entre votre boutique et votre banque. La souscription d’un contrat avec Paybox ne vous d\u00e9charge pas de l’obligation d’avoir un contrat VAD avec votre banque.<\/p>\n

Quels sont les avantages \u00e0 utiliser Paybox :<\/h2>\n