Les progiciels de gestion intégrés ne sont pas à l'abri des failles

Annoncée au cours de la conférence de hackers Black Hat de Las Vegas, la faille Java EE affectant le portail Netweaver de SAP fut la surprise de l'été.
Découvrir une vulnérabilité sur un portail SAP lors d’une conférence sur le piratage n'est pas i une surprise des plus agréables. D'autant que l’éditeur allemand était jusqu'à présent plutôt épargné par les problèmes de sécurité. « Ce qui explique sûrement son manque de réactivité », précise Gilles Godart, architecte SAP Netweaver chez Eozen. Le correctif n’a en effet été livré que quinze jours après l’annonce. « Dans les cas courants d’hébergement, un certain délai avant intervention est inévitable », ajoute-t-il.
Pour sa démonstration, Alexander Polyakov, le chercheur russe à l’origine de la découverte, s’est attaqué au portail SAP d’une entreprise choisie au hasard sur Google, et a prouvé publiquement sa capacité à créer un compte dans le groupe administrateurs de la plate-forme. Plutôt inquiétant. Cependant, bien intentionné, le chercheur a attendu que SAP publie son correctif pour révéler sa méthode.
Bien évaluer l'impact d'une faille
Pour Renaud Bidou, directeur technique de Deny All, « il est grand temps de réévaluer l’impact d’une faille sur une application web et de ne plus penser que celle-ci ne représente qu’un intérêt limité. Elle mène au cœur de l’entreprise, et à grande vitesse. » Dans le cas présent, le niveau d’exposition dépend de ce que l’entreprise a relié comme solutions SAP à son portail Netweaver.
De façon schématique, les applications web puisent leurs informations dans les systèmes du back office. A savoir dans les bases de données, les processus métier, les ressources humaines, etc., où se situe le vrai danger en cas d’intrusion. « Alexander Polyakov a démontré ce qui était pressenti de tous sans qu’aucune preuve formelle n’ait jamais été apportée : aussi faible que soit la surface d’attaque, toute l’entreprise est exposée aux risques d’intrusion, et non son seul site web », conclut Renaud Bidou.
Votre opinion