Les opérateurs de magasins en ligne utilisant Magento Open Source et Adobe Commerce version 2 sont confrontés à une menace réelle et généralisée: ces dernières semaines, il y a eu une exploitation massive d'une vulnérabilité critique connue dans la communauté sous le nom de «PolyShell». Selon l'équipe d'enquête de l'eCommerce Sansec, les attaques sont passées de preuves opportunes à une campagne active dans les jours qui ont suivi la publication de l'échec, et aujourd'hui elles touchent une grande partie des magasins vulnérables.
PolyShell profite d'une faiblesse dans l'API REST de Magento qui permet le téléchargement de fichiers dans les options de panier personnalisées. Ce canal de chargement peut accepter des fichiers "polyclot" - des fichiers conçus pour être interprétés de différentes manières par le serveur et le navigateur - qui dans certains paramètres du serveur vous permet d'exécuter le code à distance ou d'injecter des scripts persistants (stockés XSS) qui facilitent la responsabilité ou l'injection de logiciels malveillants dans les pages de paiement. Les chercheurs de Sansec ont détaillé la technique et maintenu une analyse publique de la façon dont ces attaques se produisent : analyse technique de Sansec.
L'ampleur du problème est préoccupante: Sansec indique que l'exploitation massive a commencé vers le 19 mars et a depuis identifié des activités malveillantes dans plus de la moitié des magasins qui sont encore vulnérables. L'entreprise a également publié des indicateurs d'engagement et une liste d'adresses IP utilisées par les attaquants pour analyser les sites pour trouver des portes d'entrée, des informations utiles pour les équipes d'intervention et les fournisseurs de sécurité qui veulent bloquer le trafic suspect ou détecter des tentatives d'intrusion.
Adobe a réagi en libérant un patch dans une version bêta du produit (branche 2.4.9-beta1) le 10 mars 2026, mais cette correction n'était pas encore disponible dans la version stable au moment des rapports, laissant de nombreuses installations de production sans solution officielle immédiate. Adobe a documenté les modifications et les notes de la version sur son portail Experience League: notes relatives à la version 2.4.9-beta1. Entre-temps, des chercheurs et des journalistes ont tenté d'obtenir des éclaircissements sur le calendrier de déploiement des patchs dans les branches de production.
Ce qui rend l'image encore plus compliquée est la nature des logiciels malveillants que certains attaquants installent après avoir exploité PolyShell. Sansec a trouvé un écumeur de carte de paiement utilisant Web Real-Time Communication (WebRTC) comme canal pour extraire des données. L'utilisation de WebRTC permet aux attaquants de transmettre des informations sur UDP via DTLS plutôt que HTTP, ce qui rend difficile pour les contrôles basés sur la politique de contenu (CSP) de détecter ou de bloquer l'exfiltration. Le chargeur malveillant est un JavaScript très léger qui définit une connexion à un serveur de commande et de contrôle (C2) en utilisant un échange SDP falsifié, reçoit une deuxième étape cryptée et l'exécute dans le contexte de la page. Pour augmenter ses chances d'évacuer les détections, le composant retarde son exécution avec des techniques telles que requestIdleCallback et réutilise des scripts légitimes nonces ou utilise des techniques plus risquées telles que des valeurs d'évacuation dangereuses ou l'injection directe de scripts si nécessaire.
Sansec a même documenté la présence de cet écureuil dans la boutique en ligne d'une grande entreprise automobile, d'une valeur marchande de plus de 100 milliards de dollars, et a averti que certaines notifications aux victimes n'avaient peut-être pas reçu de réponse. Le rapport de Sansec avec la division technique de l'écume et les adresses IP concernées est disponible ici: Écumeur WebRTC - Sansec.
Que peuvent faire les gestionnaires et les équipes de sécurité? Bien que la seule solution finale soit d'appliquer le patch officiel dès qu'Adobe l'a intégré dans la branche stable, il existe des mesures palliatives qui réduisent le risque. Parmi les actions urgentes, il faut examiner et resserrer les paramètres du serveur Web pour empêcher les fichiers téléchargés d'exécuter, de restreindre ou de désactiver les charges de fichiers à partir d'emplacements non essentiels et pour surveiller les paramètres de l'API REST qui gèrent les options de panier. Il est également recommandé d'utiliser les indicateurs d'engagement que Sansec a mis à disposition pour détecter les visites de scanners automatisés et bloquer les adresses IP malveillantes au niveau du périmètre. Il n'est pas nécessaire de s'appuyer uniquement sur les politiques du CSP pour ce type de menaces basées sur le WebRTC, de sorte que les équipes de sécurité devraient être complétées par des contrôles de sortie de réseau et une analyse de comportement frontale.
La leçon est claire : les plateformes eCommerce sont une cible privilégiée pour les identificateurs et les voleurs d'écume parce qu'un seul engagement peut entraîner une perte massive de données de paiement et des dommages de réputation. Le maintien des correctifs, la surveillance des anomalies de transaction et la réponse rapide aux indicateurs d'engagement publiés par les groupes de recherche augmentent considérablement la probabilité de détecter et d'atténuer ces incidents avant qu'ils ne causent de graves dommages.
Pour ceux qui veulent approfondir les détails techniques et obtenir les listes IP et IoC publiées, le rapport de Sansec sur PolyShell et l'écumeur de WebRTC sont des ressources recommandées: PolyShell - Sansec et Écumeur WebRTC - Sansec. Et pour connaître l'état du patch officiel par Adobe, vous devez suivre les notes de la version sur votre portail: notes relatives à la version 2.4.9-beta1.
Si vous dirigez un magasin Magento ou travaillez sur sa sécurité, n'attendez pas que l'explosion apparaisse dans vos dossiers : elle priorise l'évaluation des risques et la mise en place de contrôles compensatoires en ce moment. Ce n'est pas une vulnérabilité théorique: l'attaque est en cours et les mauvais acteurs l'utilisent déjà pour voler les données des clients et mettre en place des campagnes automatisées contre les magasins non protégés.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...