Les failles annoncées par Onapsis en collaboration avec SAP le 21 juillet représentent un risque potentiel pour plus de 10 000 clients SAP et opérateurs de différentes versions de SAP HANA. Une faille critique dans les systèmes SAP HANA permet par exemple de lancer à distance une attaque par force brute pour usurper des privilèges élevés et obtenir un accès illimité à n’importe quelle information d’entreprise. En exploitant d’autres failles, les hackers peuvent aussi manipuler des entrées du journal d’audit, dissimuler des attaques et accéder à des données ou les altérer. Les notes de sécurité de SAP pour le mois de juillet identifient de nouvelles failles critiques qui peuvent être exploitées pour lancer une attaque par déni de service contre SAP Solution Manager ou SAP Sybase.

SAP HANA, un système à problèmes

SAP HANA, élément clé de l’offre cloud de SAP, est une plateforme de base de données et d’applications nouvelle génération. Elle permet la réalisation de transactions, l’analyse prédictive d’informations ainsi que l’analyse et le traitement de données textuelles ou spatiales. Les entreprises peuvent ainsi réagir en temps réel. Une faille classée comme critique permet aux cyber-attaquants d’accéder à des informations stratégiques pour l’entreprise concernant par exemple ses clients et ses salariés, les calculs de prix, la chaîne d’approvisionnement, la veille stratégique, les budgets, la planification et les prévisions.

Le détournement de clic ou clickjacking

Le détournement de clic est un mécanisme d’attaque apparu récemment dans l’environnement SAP. Si ce piratage réussit, les clients ou partenaires qui visitent un site Web attaqué se retrouvent à cliquer sur des liens ou des boutons cachés et non sur les options de menu qu’ils pensent activer. Les clics déclenchent à la place des actions indésirables sur leur ordinateur.

La situation chez Oracle

Onapsis a aussi constaté une aggravation des risques pour Oracle au vu du nombre de patches publiés en juillet 2016 lors de la mise à jour critique du fabricant de logiciels. Cette mise à jour compte en effet 276 patches, soit deux fois plus que la mise à jour précédente, publiée en avril 2016. Les patches de juillet corrigent notamment 15 failles que le laboratoire de recherche Onapsis (Onapsis Research Labs) avait signalées à Oracle. Ces failles concernaient 49 produits Oracle différents. Le danger encouru par les clients Oracle est aggravé par le fait que 60 % des failles peuvent être exploitées à distance : les hackers peuvent ainsi lancer des attaques à partir de n’importe quel ordinateur en réseau. Onze des failles révélées par le laboratoire de recherche Onapsis concernant la suite Oracle E-Business permettent de recourir à du cross-site scripting, une technique grâce à laquelle les hackers peuvent transmettre du code malveillant au visiteur d’un site Web.

Le laboratoire de recherche Onapsis, équipe d’experts reconnus en sécurité SAP, propose des analyses techniques de failles en évaluant leur impact potentiel sur les entreprises et publie des rapports de sécurité complets et détaillés. Depuis sa création, il a signalé plus de 300 failles dans SAP et Oracle et produit plus de 150 rapports de sécurité, dont plus de 35 concernant SAP HANA. Il travaille en étroite collaboration avec les équipes responsables de la sécurité des produits chez SAP et Oracle.

Les rapports de sécurité du laboratoire de recherche Onapsis donnent des informations techniques sur les failles et évaluent le danger qu’elles représentent dans un contexte d’entreprise. Ils décrivent les composants concernés et les conséquences concrètes des failles sur les entreprises. Les rapports de sécurité donnent également des indications sur les solutions disponibles, tels que les patches à télécharger ou les mesures à prendre pour remédier aux failles. Les porte-parole du laboratoire de recherche Onapsis participent régulièrement à des conférences importantes sur la sécurité informatique et SAP.