Prestashop : ou est le stockage des mots de passe ?
1. Prestashop : les mots de passe sont stockés dans la base de données
Dans Prestashop, les mots de passe clients et administrateurs sont stockés dans la base de données MySQL, plus précisément dans la table ps_customer pour les clients, et ps_employee pour les employés.
Ils ne sont jamais stockés en clair, mais sous forme de hachage sécurisé, ce qui protège les données en cas de fuite. Prestashop utilise des algorithmes de hachage comme SHA-1 ou bcrypt selon les versions.
2. Prestashop : aucun mot de passe n’est visible en clair
Prestashop ne conserve aucun mot de passe lisible dans la base. Tous les mots de passe sont cryptographiquement protégés grâce à un système de hachage unidirectionnel.
Cela signifie qu’il est impossible de retrouver le mot de passe d’origine, même pour un administrateur. En cas d’oubli, l’utilisateur devra faire une réinitialisation via email.
3. Prestashop : table ps_customer pour les mots de passe clients
La table ps_customer contient les données personnelles des clients, y compris le champ passwd où le mot de passe est haché.
Ce champ ne contient qu’une chaîne alphanumérique, résultat du hachage. C’est grâce à ce système que Prestashop peut comparer les mots de passe saisis sans enregistrer les versions originales.
4. Prestashop : table ps_employee pour les accès au back-office
Les comptes administrateurs sont enregistrés dans la table ps_employee, qui contient un champ passwd pour le mot de passe haché.
C’est cette structure qui permet la connexion sécurisée au tableau de bord Prestashop. Comme pour les clients, les mots de passe sont protégés contre les accès non autorisés.
5. Prestashop : évolution des méthodes de hachage
Les versions récentes de Prestashop ont évolué vers des algorithmes de hachage plus sûrs, comme bcrypt, plus résistants aux attaques par force brute.
Dans les versions plus anciennes, SHA-1 était utilisé, mais cette méthode est désormais obsolète. Pour bénéficier des meilleurs standards, il est recommandé de mettre à jour Prestashop.
6. Prestashop : le mot de passe est comparé lors de la connexion
Lorsqu’un utilisateur se connecte, Prestashop hachera le mot de passe saisi, puis le comparera à celui stocké en base. Si les deux correspondent, l’authentification est validée.
Ce processus garantit que même en cas de vol de base de données, les mots de passe ne peuvent pas être utilisés sans être craqués manuellement.
7. Prestashop : réinitialisation du mot de passe par email
Si un mot de passe est oublié, Prestashop permet une réinitialisation sécurisée par email, sans jamais envoyer le mot de passe original.
Un lien temporaire est généré et envoyé à l’utilisateur. Ce lien permet de créer un nouveau mot de passe, qui sera à son tour haché et stocké dans la base.
8. Prestashop : sécurité renforcée avec le salt
Pour chaque mot de passe, Prestashop utilise un "salt" (chaîne aléatoire) qui est combiné au mot de passe avant le hachage. Cela rend chaque hachage unique, même si deux mots de passe sont identiques.
Le salt empêche les attaques par tables arc-en-ciel et renforce la protection des comptes utilisateurs contre les pirates.
9. Prestashop : les modules n’ont pas accès aux mots de passe
Les modules Prestashop ne peuvent pas accéder directement aux mots de passe des utilisateurs, car ceux-ci ne sont pas décryptables.
Les fonctions d’authentification passent uniquement par des fonctions de vérification sécurisées fournies par le cœur de Prestashop. Cela garantit que même un module malveillant ne peut intercepter ou afficher un mot de passe.
10. Prestashop : conseils de sécurité pour les mots de passe
Pour renforcer la sécurité des comptes utilisateurs, il est recommandé de forcer l’usage de mots de passe complexes et d’activer la double authentification pour les comptes administrateurs.
Évite de stocker les mots de passe ailleurs que dans Prestashop, ne les envoie jamais par email, et mets à jour régulièrement ton système pour bénéficier des meilleures pratiques de sécurité.
