Magento : +7 500 sites compromis dans une vague mondiale de piratage
Une campagne mondiale automatisée exploitant une faille d'upload de fichiers non authentifié dans Magento a défacé plus de 7 500 sites e-commerce sur plus de 15 000 hôtes, déposant des fichiers malveillants sur des boutiques liées à Toyota, Fiat, Asus et FedEx.
- Victime
- Magento
Signalé le 18 avril 2026, Magento — la plateforme e-commerce open source et Commerce d'Adobe, très largement déployée — a été la cible d'une vaste vague de piratage automatisée qui a compromis plus de 7 500 boutiques en ligne réparties sur plus de 15 000 hôtes et sous-domaines dans le monde. Détectée pour la première fois par Netcraft vers le 27 février 2026, la campagne se propageait encore au moment du signalement.
Les attaquants s'appuyaient sur un balayage massif d'Internet pour repérer les installations Magento dotées de mécanismes d'upload de fichiers insuffisamment sécurisés et non authentifiés, une faille qui permet d'écrire un fichier sur un serveur web sans aucun identifiant valide. Une fois en place, ils déposaient des fichiers en clair directement sur l'infrastructure touchée. L'opération relevait avant tout du défacement plutôt que du vol de données : les fichiers déposés affichaient les pseudonymes des attaquants (tels que L4663R666H05T, Simsimi, Brokenpipe et Typical Idiot Security) ainsi que des listes de « greetz » pour faire la publicité de l'intrusion et gagner en notoriété.
L'activité a touché les éditions Open Source, Enterprise et B2B, et concernait des sous-domaines, des environnements de préproduction et des sites régionaux appartenant à des marques connues comme Toyota, Fiat, Asus, Bandai et FedEx, ainsi que des enseignes françaises telles que Moulin Roty et JeuJouet.com, sans oublier des domaines gouvernementaux et universitaires en Amérique latine et au Qatar. La campagne étant opportuniste et automatisée, les sites compromis n'avaient guère en commun que l'utilisation d'une pile Magento vulnérable.
L'exposition se limitait à :
- Un accès en écriture non autorisé aux répertoires web publics
- Des fichiers de défacement et de marquage déposés par les attaquants
Aucun vol de données clients ou de paiement n'a été confirmé dans le cadre de cette campagne, même si les mêmes faiblesses peuvent ouvrir la voie à des attaques bien plus dommageables. Les exploitants de Magento ont été invités à appliquer les correctifs de sécurité disponibles, à auditer les extensions installées, à vérifier les fichiers côté serveur et à surveiller toute activité anormale. La campagne restait en cours.
Sources
- cyberattaque.orghttps://www.cyberattaque.org/magento-7-500-sites-compromis-dans-une-vague-mondiale-de-piratage/
- securityaffairs.comhttps://securityaffairs.com/189734/hacking/7500-magento-sites-defaced-in-global-hacking-campaign.html
- cybersecuritynews.comhttps://cybersecuritynews.com/hackers-compromised-7500-magento-websites/
- securityweek.comhttps://www.securityweek.com/thousands-of-magento-sites-hit-in-ongoing-defacement-campaign/