480 failles ont été décelées au total, dont 142 jugées de niveau critique ou élevé selon les critères du système de notation Common Vulnerability Scoring System (CSSV) et qui par conséquent doivent être corrigées en priorité. Dans les entreprises du secteur pétrolier et gazier, les analyses ont révélé 127 failles, dont un grand nombre de niveau critique car elles permettraient un piratage des données stratégiques abritées par les systèmes SAP. Dans les entreprises du secteur aéronautique, 145 failles ont été détectées, parmi lesquelles plusieurs classées comme critiques car pouvant permettre à des hackers de lire, écrire ou copier des informations stratégiques pour l’entreprise. Dans l’industrie pharmaceutique, les experts Onapsis ont décelé 138 failles, dont plusieurs permettraient une prise de contrôle totale à distance des applications SAP via le serveur de l’entreprise.

Accès à distance non autorisés

Quel que soit le secteur d’activité, différents mécanismes d’accès à distance aux systèmes SAP sont très largement répandus. Les failles décelées permettent d’accéder aux instances SAP, à l’administration des systèmes et au serveur RFC. De plus, il est possible d’établir des connexions en mode anonyme ou d’intercepter des communications RFC non cryptées. Résultat, des pirates pourraient récupérer, lire, écrire ou effacer des informations. Ils pourraient notamment contrôler le trafic de données et visualiser des paramètres de configuration afin de préparer de nouvelles attaques. Concernant les systèmes analysés, il existe également un risque d’attaque par déni de service ou de prise de contrôle totale des systèmes SAP. Des attaques de type "man-in-the-middle" (intermédiaire) ou "traffic sniffing" (reniflage du trafic) permettraient entre autres la consultation des données d’accès.

Une protection insuffisante du servlet Invoker permet dans bon nombre de cas à des hackers de se connecter à distance aux applications SAP en Java afin de contourner les mécanismes d’authentification externes, ou de créer arbitrairement des utilisateurs SAP pour se livrer à des activités frauduleuses. Cette faille a été découverte dans 36 entreprises aux États-Unis, au Royaume-Uni, en Allemagne, en Chine, en Inde, au Japon et en Corée du Sud. Ce constat est dramatique et en même temps incompréhensible dans la mesure où il existe depuis six ans déjà un patch SAP pour corriger cette faille. Les systèmes SAP mis à jour ne sont pas affectés. Cette faille a conduit l’autorité US-CERT à émettre pour la première fois en mai dernier un avertissement de sécurité pour les systèmes SAP.

Les plates-formes SAP Java offrent des fonctionnalités intégrées et un cadre complet de processus de bibliothèques et de services pour le développement et le déploiement d’applications SAP en Java. Parmi ces fonctionnalités figure le servlet Invoker, inclus en standard dans les spécifications J2EE de Sun (désormais Oracle). Ce servlet a été introduit en tant qu’outil de développement rapide afin de tester les applications Java. Lorsqu’il est activé, les développeurs et les utilisateurs peuvent appeler directement les servlets, sans contrôle d’authentification ou d’autorisation.

« En matière de sécurité SAP, les résultats montrent que dans bon nombre de secteurs d’activité, les entreprises ont un énorme retard à rattraper en ce qui concerne la surveillance de la sécurité de leurs systèmes SAP », déclare Mariano Nunez, co-fondateur et CEO d’Onapsis. « Les failles de sécurité au sein des environnements SAP mettent potentiellement en danger les processus et les données stratégiques des entreprises. Les failles que nous révélons de manière confidentielle à nos clients peuvent souvent être corrigées au moyen des patchs existants. Toutefois, un grand nombre d’entreprises manquent de visibilité quant aux failles de sécurité de leurs systèmes SAP. Elles ne disposent pas non plus de toutes les ressources nécessaires pour traiter le problème et n’ont pas défini clairement les responsabilités dans le cadre d’une politique de sécurité SAP.

À propos du service BRI

Les analyses effectuées à l’aide du service Onapsis Business Risk Illustration donnent aux entreprises une vision totale de leurs risques économiques, financiers, de conformité et de perte de données et leur permettent d’élaborer sur cette base un plan d’action optimal. Les analyses BRI aident les responsables à mettre en évidence les conséquences des failles décelées, susceptibles d’être exploitées par des attaquants externes pour compromettre les données et les processus stratégiques de l’entreprise. Elles fournissent également des recommandations quant aux mesures de protection à adopter et aux priorités en la matière.

Fonctions clés d’Onapsis Business Risk Illustration :
• Liste des possibilités de cyberattaques contre les environnements SAP et conséquences potentielles pour l’entreprise ;
• Synthèse détaillée de l’ensemble des failles détectées dans l’environnement SAP ;
• Analyse montrant comment les failles détectées peuvent être exploitées par des attaquants ;
• Analyse des conséquences pour l’entreprise en cas d’exploitation d’une faille de sécurité ;
• Programme de cybersécurité SAP et recommandations afin d’éliminer complètement les failles existantes.