Skip to content
Exploitation de vulnérabilitéEn cours

Magento : +7 500 sites compromis dans une vague mondiale de piratage

Une campagne mondiale automatisée exploitant une faille d'upload de fichiers non authentifié dans Magento a défacé plus de 7 500 sites e-commerce sur plus de 15 000 hôtes, déposant des fichiers malveillants sur des boutiques liées à Toyota, Fiat, Asus et FedEx.

Victime
Magento

Signalé le 18 avril 2026, Magento — la plateforme e-commerce open source et Commerce d'Adobe, très largement déployée — a été la cible d'une vaste vague de piratage automatisée qui a compromis plus de 7 500 boutiques en ligne réparties sur plus de 15 000 hôtes et sous-domaines dans le monde. Détectée pour la première fois par Netcraft vers le 27 février 2026, la campagne se propageait encore au moment du signalement.

Les attaquants s'appuyaient sur un balayage massif d'Internet pour repérer les installations Magento dotées de mécanismes d'upload de fichiers insuffisamment sécurisés et non authentifiés, une faille qui permet d'écrire un fichier sur un serveur web sans aucun identifiant valide. Une fois en place, ils déposaient des fichiers en clair directement sur l'infrastructure touchée. L'opération relevait avant tout du défacement plutôt que du vol de données : les fichiers déposés affichaient les pseudonymes des attaquants (tels que L4663R666H05T, Simsimi, Brokenpipe et Typical Idiot Security) ainsi que des listes de « greetz » pour faire la publicité de l'intrusion et gagner en notoriété.

L'activité a touché les éditions Open Source, Enterprise et B2B, et concernait des sous-domaines, des environnements de préproduction et des sites régionaux appartenant à des marques connues comme Toyota, Fiat, Asus, Bandai et FedEx, ainsi que des enseignes françaises telles que Moulin Roty et JeuJouet.com, sans oublier des domaines gouvernementaux et universitaires en Amérique latine et au Qatar. La campagne étant opportuniste et automatisée, les sites compromis n'avaient guère en commun que l'utilisation d'une pile Magento vulnérable.

L'exposition se limitait à :

  • Un accès en écriture non autorisé aux répertoires web publics
  • Des fichiers de défacement et de marquage déposés par les attaquants

Aucun vol de données clients ou de paiement n'a été confirmé dans le cadre de cette campagne, même si les mêmes faiblesses peuvent ouvrir la voie à des attaques bien plus dommageables. Les exploitants de Magento ont été invités à appliquer les correctifs de sécurité disponibles, à auditer les extensions installées, à vérifier les fichiers côté serveur et à surveiller toute activité anormale. La campagne restait en cours.

Sources

  1. cyberattaque.orghttps://www.cyberattaque.org/magento-7-500-sites-compromis-dans-une-vague-mondiale-de-piratage/
  2. securityaffairs.comhttps://securityaffairs.com/189734/hacking/7500-magento-sites-defaced-in-global-hacking-campaign.html
  3. cybersecuritynews.comhttps://cybersecuritynews.com/hackers-compromised-7500-magento-websites/
  4. securityweek.comhttps://www.securityweek.com/thousands-of-magento-sites-hit-in-ongoing-defacement-campaign/

Incidents liés

Exploitation de vulnérabilitéContenu

Fuite chez Oracle Cloud

Fin mars 2025, un acteur malveillant connu sous le pseudonyme « rose87168 » a affirmé avoir dérobé environ 6 millions d'enregistrements d'authentification depuis un serveur SSO/LDAP d'Oracle Cloud, touchant potentiellement plus de 140 000 locataires ; Oracle a d'abord nié toute fuite avant de confirmer une compromission en privé à ses clients.

Victim
Oracle Cloud
Records
6.0M
Exploitation de vulnérabilitéEn cours

Faille SSRF de Cisco Unified CM exploitée pour déposer des webshells (CVE-2026-20230)

Des attaquants ont commencé à exploiter activement une faille critique de falsification de requête côté serveur, non authentifiée, dans Cisco Unified Communications Manager, suivie sous CVE-2026-20230, en se servant du service WebDialer pour écrire des fichiers et déposer des webshells JSP sur des serveurs de téléphonie d'entreprise.

Victim
Cisco Unified Communications Manager