Un code malveillant enfoui depuis 2019 dans des extensions Magento vient d’être activé, affectant entre 500 et 1 000 boutiques en ligne, dont une entreprise pesant 40 milliards de dollars.
Depuis une semaine, la communauté de la cybersécurité est en alerte maximale. Une attaque sophistiquée de la chaîne d’approvisionnement, dissimulée depuis six ans dans des extensions Magento, a permis à des pirates de prendre le contrôle de centaines de boutiques en ligne. L’ampleur du piratage dépasse les frontières du simple incident technique : elle met en lumière les risques systémiques liés à l’économie numérique, notamment dans le secteur du commerce électronique. Selon le cabinet de cybersécurité Sansec, à l’origine de la découverte, des acteurs malveillants ont compromis des serveurs de téléchargement d’extensions utilisées par des centaines d’e-commerçants à travers le monde. Une faille dormante, activée seulement récemment, a permis une intrusion massive et coordonnée.
L’attaque, qui cible le cœur du fonctionnement des boutiques Magento, repose sur une technique redoutable : le piratage des extensions logicielles fournies par des développeurs tiers. Dans ce cas précis, 21 modules commercialisés ou distribués entre 2019 et 2022 ont été infectés par une porte dérobée, masquée dans une fausse vérification de licence. Cette dernière permet aux hackers de charger un fichier à distance, sans authentification pour les versions les plus anciennes, ou via une clé secrète dans les plus récentes. Grâce à cette faille, les attaquants pouvaient injecter du code arbitraire dans les serveurs des e-commerçants et potentiellement accéder aux données des clients, aux informations de paiement ou encore aux paramètres de configuration sensibles.
Les fournisseurs impliqués sont trois noms bien connus de l’écosystème Magento : Tigren, Meetanshi et Magesolution (MGS). Tous trois proposent depuis plusieurs années des modules d’optimisation pour les boutiques en ligne : ajouts au panier plus fluides, gestion des cookies, localisation des magasins ou encore intégration avec les réseaux sociaux. Autant d’outils précieux pour les commerçants, mais qui se sont révélés être, dans ce cas précis, des chevaux de Troie. Les backdoors ont été identifiées dans des extensions telles que Ajaxsuite, RGPD, Lookbook, ou encore Facebook Chat, avec une même signature : un fichier License.php ou LicenseApi.php détourné de sa fonction initiale.
« Une multinationale pesant 40 milliards de dollars est parmi les victimes«
Le scénario découvert est d’autant plus inquiétant que la compromission initiale remonte à plusieurs années. Le code malveillant aurait été injecté dès 2019, voire plus tôt, mais n’a été activé qu’en avril 2025. Cette stratégie dite de « dormance » est particulièrement redoutée en cybersécurité : elle permet à l’attaquant de rester invisible pendant des années, jusqu’au jour où il décide d’agir. Le fait que l’abus réel n’ait commencé qu’en avril interroge les experts : s’agissait-il d’une phase de test, ou d’une attaque mûrement planifiée pour coïncider avec une période stratégique, comme la saison des ventes en ligne ? Les implications sont majeures.
La réaction des fournisseurs concernés jette une lumière crue sur la difficulté de gérer de telles crises. Tigren nie avoir été piraté, malgré les preuves techniques et le maintien en ligne de ses extensions compromises. Meetanshi, plus transparent, admet que son serveur a bien été compromis, sans pour autant reconnaître d’altération de ses packages. Quant à Magesolution, il n’avait toujours pas répondu aux sollicitations lors de l’écriture de l’article de DataSecurityBreach.fr. Un silence qui interroge, alors même que ses modules restent disponibles au téléchargement, porte dérobée incluse.
L’analyse révèle que chaque backdoor possède un nom, un chemin et une somme de contrôle uniques. Cela suggère une attaque particulièrement sophistiquée, menée avec minutie pour éviter toute détection automatisée. Cette personnalisation complique le travail des systèmes antivirus et des scanners de sécurité, qui peinent à identifier une menace qui ne se répète pas à l’identique. De plus, les hackers ont utilisé un fichier appelé registration.php pour activer la fausse vérification de licence, une méthode subtile permettant de ne pas éveiller les soupçons des développeurs ou des administrateurs de sites.
« Il est rare qu’une porte dérobée reste indétectée pendant six ans, mais il est encore plus étrange que les abus réels ne commencent que maintenant »
D’un point de vue technique, la faille repose sur une fonction appelée « adminLoadLicense », qui exécute en PHP le contenu d’une variable contrôlée par l’attaquant : $licenseFile. C’est cette porte d’entrée qui permet l’exécution de code à distance. Dans les versions anciennes des extensions, aucune authentification n’était requise pour charger un fichier, ce qui rendait l’attaque encore plus facile à mener. Les versions plus récentes imposent une clé secrète, mais celle-ci a manifestement été compromise, ou générée de manière prévisible.
Au-delà de l’aspect technique, cette attaque soulève des questions majeures sur la sécurité des chaînes d’approvisionnement logicielles. Dans un monde numérique où la majorité des entreprises s’appuient sur des composants tiers pour bâtir leurs infrastructures, la confiance dans les fournisseurs devient un enjeu vital. Lorsque cette confiance est trahie, les conséquences sont catastrophiques. Dans ce cas, non seulement les commerçants ont été exposés, mais également les consommateurs, dont les données personnelles et financières ont pu être compromises.
Le modèle économique des extensions Magento accentue ce risque. Bon nombre de ces modules sont gratuits ou à faible coût, développés par des petites entreprises ou des indépendants qui n’ont pas les moyens de mettre en place des processus de sécurité avancés. Et même lorsque des vérifications existent, elles se concentrent souvent sur les fonctionnalités visibles, non sur des fichiers apparemment anodins comme License.php. Cette attaque démontre qu’il est désormais impératif d’intégrer des audits de sécurité profonds, même pour les composants considérés comme mineurs.
À l’échelle globale, cette faille pourrait entraîner un regain de méfiance envers les plateformes open source comme Magento. Pourtant, le problème ne vient pas de la plateforme elle-même, mais de l’écosystème de modules tiers non suffisamment contrôlés. Des géants comme Adobe, propriétaire de Magento, devront sans doute revoir leurs processus de validation et encourager les utilisateurs à auditer les packages avant toute installation. La multiplication des attaques de ce type, SolarWinds, Log4j, et maintenant Magento, montre que la chaîne d’approvisionnement numérique est devenue le nouveau front du cybercrime.
Les conséquences économiques exactes de l’attaque restent à évaluer. Si une multinationale de 40 milliards de dollars est impliquée, les pertes potentielles pourraient se chiffrer en millions d’euros. Outre l’atteinte à la réputation, il faudra aussi compter avec les frais de mise à jour des systèmes, les audits de sécurité, les signalements aux régulateurs et, possiblement, des plaintes de clients. Le RGPD prévoit en effet des sanctions sévères en cas de fuite de données due à une négligence dans la chaîne de traitement.
Dans l’immédiat, il est recommandé aux commerçants en ligne utilisant les extensions concernées de les supprimer sans délai, de scanner leurs serveurs à la recherche de fichiers suspects et d’auditer les accès réseau. Il est également conseillé de mettre en place un suivi automatisé de l’intégrité des fichiers, pour détecter rapidement toute modification suspecte.
Cette attaque soulève une inquiétude légitime : combien d’autres portes dérobées dorment encore dans nos infrastructures numériques ?
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.