PrestaShop propulse plus de 300 000 boutiques dans le monde. Chaque module installé est un vecteur d’attaque potentiel — et les conséquences d’une faille sont directes : vol de données clients, détournement de paiements, fermeture de la boutique.
Un CMS e-commerce manipule des données de paiement, des informations personnelles et doit respecter le RGPD et PCI-DSS. La moindre faille a des conséquences financières et juridiques immédiates.
L’écosystème PrestaShop repose sur des centaines de modules communautaires, rarement audités. Un seul module vulnérable suffit à compromettre l’ensemble de la boutique — y compris les données bancaires de vos clients. Le marketplace officiel Addons n’effectue qu’une revue superficielle du code soumis, et de nombreux marchands installent également des modules provenant de sources tierces sans aucune validation de sécurité.
L’écosystème PrestaShop est régulièrement affecté par des vulnérabilités critiques : injections SQL avec des scores CVSS atteignant 9.8, exécution de code à distance, exposition de tokens d’API. La base Friends of Presta référence plus de 200 CVE spécifiques aux modules PrestaShop, et de nouvelles failles sont publiées chaque mois. Sans surveillance active, votre boutique peut rester vulnérable pendant des semaines après la publication d’un exploit.
PrestaShop 1.6 est en fin de vie depuis octobre 2023, et PrestaShop 1.7 ne reçoit plus que des correctifs de sécurité critiques. Pourtant, ces deux versions restent très répandues dans le parc français. Chaque version en fin de vie accumule des CVE non corrigées qui s’ajoutent aux vulnérabilités de ses modules. La migration vers PrestaShop 8.x est la seule solution pérenne, mais elle nécessite d’abord un état des lieux précis de la surface d’attaque existante.
De nombreuses boutiques PrestaShop exposent involontairement des fichiers sensibles : config/settings.inc.php contenant les identifiants de base de données, les fichiers config.xml des modules révélant leur version exacte, des fichiers .env avec des clés API, ou encore des sauvegardes de base de données accessibles publiquement. Ces expositions fournissent aux attaquants les informations nécessaires pour cibler précisément les failles de votre installation.
Ce rapport est issu d’un vrai audit réalisé par notre plateforme. Les données ont été anonymisées pour protéger le propriétaire de la boutique.
Ce rapport est issu d’un vrai audit. Les données ont été anonymisées pour protéger le propriétaire.
Chaque audit PrestaShop couvre systématiquement huit dimensions de sécurité, de la version du CMS aux CVE spécifiques des modules installés.
Trois moteurs spécialisés travaillent en parallèle pour couvrir l’intégralité de la surface d’attaque de votre boutique PrestaShop.
8 templates spécifiques PrestaShop développés par notre équipe : détection de version, exposition du backoffice, mode debug actif, fichiers sensibles et CVE critiques connues (CVE-2023-30839 injection SQL, CVE-2022-36408 RCE, CVE-2022-31101 XSS stocké). Chaque template envoie des requêtes calibrées et analyse la réponse du serveur pour confirmer la présence de la vulnérabilité.
Base de vulnérabilités entièrement dédiée à l’écosystème PrestaShop, maintenue par la communauté française — friendsofpresta.org. Plus de 200 CVE référencées couvrant les modules les plus populaires : paiement, recherche, export, formulaires de contact. Chaque CVE est enrichie avec son score CVSS et sa classification CWE pour une priorisation immédiate. Retrouvez également les alertes de sécurité officielles sur security.prestashop.com.
Enrichissement systématique de chaque CVE détectée via l’API 2.0 de la National Vulnerability Database (NIST). Récupération des scores CVSS 3.1 officiels, des classifications CWE et des références d’exploits publics. Ce croisement multi-sources garantit la fiabilité et la précision des scores de sévérité affichés dans le rapport.
Les réponses aux questions les plus courantes sur l’audit de sécurité des boutiques PrestaShop.