Les progiciels de gestion intégrés ne sont pas à l'abri des failles

Découvrir une vulnérabilité sur un portail SAP lors d’une conférence sur le piratage n'est pas i une surprise des plus agréables. D'autant que l’éditeur allemand était jusqu'à présent plutôt épargné par les problèmes de sécurité. « Ce qui explique sûrement son manque de réactivité », précise Gilles Godart, architecte SAP Netweaver chez Eozen. Le correctif n’a en effet été livré que quinze jours après l’annonce. « Dans les cas courants d’hébergement, un certain délai avant intervention est inévitable », ajoute-t-il.

Pour sa démonstration, Alexander Polyakov, le chercheur russe à l’origine de la découverte, s’est attaqué au portail SAP d’une entreprise choisie au hasard sur Google, et a prouvé publiquement sa capacité à créer un compte dans le groupe administrateurs de la plate-forme. Plutôt inquiétant. Cependant, bien intentionné, le chercheur a attendu que SAP publie son correctif pour révéler sa méthode.

Bien évaluer l'impact d'une faille

Pour Renaud Bidou, directeur technique de Deny All, « il est grand temps de réévaluer l’impact d’une faille sur une application web et de ne plus penser que celle-ci ne représente qu’un intérêt limité. Elle mène au cœur de l’entreprise, et à grande vitesse. » Dans le cas présent, le niveau d’exposition dépend de ce que l’entreprise a relié comme solutions SAP à son portail Netweaver.

De façon schématique, les applications web puisent leurs informations dans les systèmes du back office. A savoir dans les bases de données, les processus métier, les ressources humaines, etc., où se situe le vrai danger en cas d’intrusion. « Alexander Polyakov a démontré ce qui était pressenti de tous sans qu’aucune preuve formelle n’ait jamais été apportée : aussi faible que soit la surface d’attaque, toute l’entreprise est exposée aux risques d’intrusion, et non son seul site web », conclut Renaud Bidou.