Le lab de ce spécialiste de la sécurité des applications métiers tire la sonnette d’alarme sur les failles cyber-criminelles contre différentes plates-formes : SAP HANA, Oracle e-Business Suite et JD Edwards.
Selon ce fournisseur, « les failles non corrigées permettent aux hackers d’accéder aux informations confidentielles et aux applications stratégiques des entreprises ou de se livrer à des actes de fraude ou de sabotage. »
Pour Onapsis, « les configurations incorrectes, notamment lors de l’installation de SAP Hana ou des applications Web Oracle EBusiness Suite, ou encore des failles dans les protocoles JD Edwards (JED) facilitent les accès non autorisés aux systèmes. Ce type de cyber-attaque peut donc être perpétré par d’autres personnes que les spécialistes SAP. »
Face à une telle réalité, le risque semble important car portant notamment sur des applications métiers critiques : ERP, CRM, de gestion du capital humain, de pilotage décisionnel ou de SCM. Les dommages subis pouvant être considérables.
Ainsi, Onapsis explique qu’au terme de tests d’intrusions de type boîte noire qu’il a effectués à la demande de l’un de ses clients, « près de 95 % des systèmes SAP sont potentiellement menacés par des cyberattaques. Cette vulnérabilité est due principalement aux mauvaises configurations par les utilisateurs, par exemple lorsqu’ils négligent d’installer des patchs de sécurité. Du coup, sans connaître les noms d’utilisateurs et les mots de passe, les hackers peuvent accéder aux processus-clés et aux données et informations stratégiques de l’entreprise. Nombre de ces attaques ne sont donc plus seulement le fait d’experts SAP : n’importe qui ayant des connaissances en sécurité et en réseaux informatiques peut attaquer SAP Hana au niveau de la couche transaction. »
Les experts du laboratoire de recherche d’Onapsis ont révélé trois méthodes pour lancer des cyberattaques. Sur les systèmes SAP et SAP Hana, « des failles apparaissent en cas de configurations ou de définitions d’autorisation incorrectes ou lorsque les patchs de sécurité requis ne sont pas installés. Les hackers commencent alors par s’en prendre aux systèmes les moins protégés, par exemple les systèmes d’assurance qualité ou de développement. Une fois qu’ils s’y sont introduits, ils passent ensuite par pivoting aux systèmes de production. Même SAP Hana n’est pas épargné par ces problèmes de sécurité. C’est pourquoi SAP publie régulièrement des patchs pour cette plate-forme, par exemple en ce moment un patch contre les attaques par débordement de tampon. Si les patchs ne sont pas installés, les failles qu’ils sont censés corriger permettent aux hackers d’introduire du code malveillant dans les systèmes et de lancer des attaques par déni de service. »
Qu’en est-il des applications Web Oracle Ebusiness Suite ? Onapsis part d’un constat : « ces applications permettent aux collaborateurs, aux clients et aux partenaires commerciaux de l’entreprise de prendre part à ses processus via le Web. Or bon nombre de ces connexions Internet ne sont pas suffisamment protégées. Les hackers exploitent des configurations non sécurisées et profitent de l’absence de patchs pour utiliser des comptes disposant d’autorisations par défaut et ainsi avoir accès au système central et compromettre des informations stratégiques. »
Enfin, au sujet des protocoles d (JDE) « un grand nombre de systèmes connectés à Internet communiquent avec JDE via des interfaces de programmation ouvertes. Les hackers profitent de failles dans les protocoles propriétaires pour compromettre l’ensemble du système et lire ou manipuler des informations sans même avoir besoin de déjouer le processus d’authentification. »
Selon », Juan Pablo Perez-Etchegoyen, directeur technique d’Onapsis, « nous observons une tendance claire : le nombre de failles détectées dans tous les environnements ERP par les éditeurs eux-mêmes ou par des tiers est en augmentation. Même SAP Hana n’y échappe pas. Au contraire cette plate-forme en temps réel a plutôt tendance à aggraver la situation. Le nombre de patchs de sécurité concernant spécifiquement SAP Hana a augmenté de 450 % en 2014 par rapport à 2013. À cela vient s’ajouter le fait qu’en tant que composant clé, SAP Hana est placé au cœur de l’écosystème SAP. Si les clients ne suivent pas le rythme de publication des patchs, ils augmentent les risques pour leurs applications stratégiques. De son côté, Mariano Nunez, co-fondateur et CEO d’Onapsis, rappelle que son entreprise « travaille en étroite collaboration avec SAP et Oracle afin de déceler les failles et développer des solutions adaptées. Pour se protéger des attaques visant leurs actifs stratégiques, les entreprises devraient installer les patchs de sécurité dès leur publication, vérifier régulièrement la configuration de leurs systèmes pour corriger les mauvais paramétrages et mettre en place un dispositif qui surveille en permanence leurs applications métiers. Elles pourront ainsi identifier rapidement les menaces et y réagir de manière proactive.»
