Black Hat 2011 : Ce qui a changé après la conférence

Black Hat 2011 : Ce qui a changé après la conférence
 

Comme chaque année, la conférence Black Hat a réuni les experts internationaux du monde de la sécurité informatique. Installée à Las Vegas, elle est reconnue comme le point d'orgue de la saison des conférences de sécurité.

Les applications web sont des cibles de plus en plus recherchées. Gartner, X-Force (le laboratoire de sécurité d’IBM) et l’institut SANS constatent cette évolution depuis quelques années. Toutefois, la conférence d’Alexander Polyakov sur la faille permettant de prendre le contrôle des applications SAP via le portail web Netweaver a considérablement changé la dimension du problème.

En effet, il ne s’agit plus du piratage d’une application web accessible au public, mais d’une application au cœur du réseau, capable de gérer jusqu’à l’ensemble des composantes de l’entreprise : ressources humaines, comptabilité, processus métier. Alexander Polyakov a démontré ce qui était pressenti de tous sans qu’aucune preuve formelle n’ait jamais été apportée : aussi faible que soit la surface d’attaque,  l’entreprise toute entière est exposée aux risques d’intrusion, et non son seul site web.

La faille SAP menace le monde de l'entreprise

Cette conférence a insi fourni une preuve triviale, basée sur un contournement de l’authentification grâce à l’usage de méthodes HTTP non listées, qui ridiculise l’éditeur allemand et nous offre une démonstration « live » de la création d’un utilisateur dans le groupe des administrateurs de la plate-forme SAP d’une entreprise choisie au hasard via Google.

Et une preuve irréfutable. SAP ayant admis la faille, le chercheur russe a accepté de différer la publication de son code afin de laisser à l’éditeur le temps d’écrire le patch que SAP a délivré début août pour une mise à disposition de ses clients. Mais si la déontologie de l’auteur a sauvé dans ce cas précis les entreprises d’un Armageddon numérique, il y a fort à craindre que d’autres ne fassent pas preuve d’autant de réserve.

Il est donc grand temps de reconsidérer l’impact d’une faille sur une application web, et de cesser de se reposer sur le postulat que l’application peut être sûre (elle ne l’est jamais) et qu’elle ne représente qu’un intérêt limité. Elle mène au cœur de l’entreprise, à grande vitesse.