Le cabinet de sécurité israélien AppSec Labs a découvert une faille sur l'un des sites du géant du e-commerce Alibaba qui aurait pu causer d'importants dégâts. Cette vulnérabilité a été repérée en octobre dernier sur AliExpress, un site d'achat en ligne appartenant au groupe Chinois qui cible différents marchés étrangers, dont les États-Unis, la Russie et le Brésil. En l'exploitant, un hacker aurait pu détourner le compte d'un commerçant.
« Cette faille pouvait permettre à des attaquants de modifier les prix des produits, de supprimer les marchandises, et même de fermer la boutique d'un commerçant », a déclaré hier Erez Metula, fondateur d'AppSec. « En appliquant une baisse de plusieurs centaines de dollars sur les marchandises, des hackers auraient pu se procurer un produit pour presque rien », a-t-il ajouté.
Une réaction tardive
AppSec a immédiatement contacté Alibaba par e-mails et par téléphone pour tenter de recevoir une réponse appropriée. Le groupe d'e-commerce ne  s'est manifesté que la semaine dernière, lorsque le cabinet a parlé de cette affaire à la presse locale israélienne. « Je pense que cela est peut-être dû à un problème de langues », a déclaré Erez Metula. « Nous ne comprenons pas le chinois, et peut-être qu'ils n'ont pas compris  notre courriel, qui était rédigé en anglais ». Dans un mail, Alibaba a  fait savoir que le problème était résolu et qu'il surveillait la situation. « La sécurité et la vie privée de nos clients est notre priorité et nous ferons tout notre possible pour continuer à assurer un environnement commercial sécurisé sur nos plates-formes », a précisé la firme sans donner de précisions sur les raisons de son retard face aux conclusions émises par Appsec un mois plus tôt.
Bien qu'AliExpress ne soit pas la principale source de revenus d'Alibaba, le site se développe et ses ventes ont augmenté sur les marchés internationaux. Selon le chercheur d'AppSec Lab, cette faille serait assez courante. « C'est une vulnérabilité régulière qui se trouve au sommet de la liste et qui doit être vérifiée par chaque   responsable sécurité », a-t-il assuré. Il a également précisé que s'il avait pu repérer cette faille, c'est parce qu'il était client d'AliExpress.