Sécurité : SAP, un nid de failles trop longtemps négligé

Siège des données et processus centraux des grandes entreprises, SAP apparaît comme une cible de choix pour des hackers. Pourtant, la sécurité de ces environnements reste mal maîtrisée, comme l’a montré une récente attaque exploitant une faille datant de… 2010.

Failles réseau, vulnérabilités de Windows, de Flash, des protocoles de chiffrement. De nombreux chercheurs en sécurité – mais aussi de très nombreux hackers – travaillent au quotidien sur ces sujets. Jusqu’à tout récemment, les ERP, et en particulier les environnements pour très grandes entreprises fournis par SAP ou Oracle, semblaient en dehors du périmètre de cette bataille. Malgré la valeur des données qu’ils renferment. Mais ces derniers mois, les enjeux sécuritaires que recèlent ces environnements sont apparus au grand jour. Notamment sous l’impulsion d’une petite société spécialisée, Onapsis. A tel point que le 11 mai dernier, une alerte très officielle du non moins officiel centre de réponse aux incidents de sécurité du département de l’Intérieur américain avertissait qu’une attaque exploitant une très ancienne vulnérabilité de SAP avait touché au moins 36 entreprises au cours des trois dernières années. Suite à des travaux menés par Onapsis.

Pour Juan Perez-Etchegoyen, le directeur technique de cette société créée en 2009, l’histoire d’Onapsis (110 salariés aujourd’hui) trouve ses origines dans des tests d’intrusion menés en 2007 par son fondateur, Mariano Nunez, pour le compte du DSI d’une entreprise. « Il s’est aperçu que cette application très particulière qu’est SAP tournait avec des vulnérabilités sans que celle-ci soient répertoriées », explique le chercheur. Selon lui, les problèmes ne proviennent ni des mécanismes de gestion des entités, bien encadrée, ni d’ailleurs à proprement parler de l’éditeur,  qui, selon le directeur technique, a mis en place un processus de communication des failles et de mise à disposition des rustines de sécurité bien rodé. Même si, de ce côté-là, tout n’est évidemment pas parfait. Ainsi, la société ERPScan, elle aussi spécialisée sur la sécurité des ERP, signale que la dernière livraison de rustines de SAP (datant du 14 juin)  vient combler une faille découverte par un de ses chercheurs, Alexander Polyakov, il y a… trois ans. Rappelons que corriger une faille demande normalement entre un et trois mois à un éditeur, SAP se rapprochant habituellement plutôt du haut de cette fourchette.

La complexité de SAP

perez-etchegoyen
Juan Perez-Etchegoyen

Mais, pour Juan Perez-Etchegoyen, la vraie difficulté est ailleurs. « Le problème vient en effet plutôt des entreprises utilisatrices, qui ne sont pas bien renseignées sur les risques et n’ont pas toujours un processus en place pour qualifier les patches de sécurité mis à disposition par l’éditeur », résume Juan Perez-Etchegoyen. S’y ajoute, selon lui, la difficulté à maîtriser les environnements techniques supportant les progiciels. « La surface d’attaque inclut la base de données et les serveurs d’application. Or, le paramétrage du serveur d’application peut se traduire par 1 500 configurations différentes. Pour une entreprise, monitorer les environnements SAP s’avère très complexe », dit le chercheur en sécurité.

Une étude qu’a menée le cabinet Ponemon Institute pour Onapsis montre que 75 % des professionnels IT sont persuadés que leurs environnements SAP renferment déjà au moins un malware, sans que cette infection ait été détectée. Et 6 informaticiens sur 10 estiment que l’impact d’une telle attaque serait catastrophique. Malgré tout, quelque 70 % des entreprises sautent ainsi les audits de sécurité et de conformité sur leur code Abap (le langage de programmation du premier éditeur européen)… Un peu comme si, en la matière, la politique de l’autruche prévalait face à la complexité du sujet.

Code spécifique : un danger supplémentaire

Les environnements SAP ont en effet pour particularité d’être fortement customisés, chaque entreprise adaptant les processus du progiciel à ses besoins… via des développements en Abap. Un phénomène qui ne fait qu’accroître la surface d’attaque, comme le souligne la société Panaya,  spécialisée dans les montées de versions de SAP (aujourd’hui dans le giron de la SSII indienne Infosys), dans un billet de blog. « Le code spécifique est un code qui n’est ni mis à jour, ni patché. Le code spécifique renferme des risques alors qu’une large part reste inutilisé », écrit Avi Hein, l’auteur de ce billet. En effet, avec le temps, une bonne partie du code spécifique développé pour SAP n’est plus employé par les processus mis en œuvre par les utilisateurs… mais reste présent dans les environnements techniques.

L’addition de tous ces facteurs fait de SAP une cible tentante pour des cybercriminels. D’autant que les scénarios d’attaque sont variés. « Le plus simple d’entre eux est l’exfiltration de données, permettant de dérober la propriété intellectuelle d’une entreprise », dit Juan Perez-Etchegoyen, qui rappelle que le collectif Anonymous a probablement pu accéder en 2012 aux données du ministère des finances grec via une faille de SAP. Mais, la piste du sabotage est, elle aussi, tout à fait envisageable, avec des conséquences très lourdes. Or, le coût d’une panne de SAP est estimé à 4,5 millions de dollars en moyenne. Sans parler d’actes plus pernicieux. Car le scénario le plus élaboré consiste à exploiter un accès à ces systèmes gérant l’activité des plus grandes entreprises dans le monde pour mettre en place des fraudes. « Bien sûr, ces attaques sont plus complexes et nécessitent une connaissance des modes de fonctionnement de l’entité ciblée, mais les possibilités sont multiples », dit le CTO. Qui cite pêle-mêle : des modifications de salaires, le détournement de marchandises, la falsification des salaires ou encore le remplacement de comptes bancaires destinataires de versements de l’entreprise. La récente attaque contre les systèmes du réseau interbancaire Swift montre la rentabilité de ce type d’actions pour les cybercriminels. Selon Juan Perez-Etchegoyen, « sans aucun code d’accès, dans 25 % des cas, nous sommes en mesure de compromettre la sécurité des systèmes SAP lors de nos tests de pénétration ».

Face à cette réalité, pas étonnant qu’un marché soit en train de voir le jour. Créée en 2009, à Boston avec une R&D hébergée en Argentine, Onapsis est ainsi en train de se déployer en Europe, avec des bureaux dans trois marchés clefs pour SAP : La Grande-Bretagne, la France et évidemment l’Allemagne. Onapsis, né autour de prestations de conseil, a aussi mis au point une offre produit, en particulier une solution de monitoring temps réel des environnements SAP permettant tant d’évaluer les risques que de mettre en évidence les tentatives d’intrusion.

50 % de failles en moins en 2015

Justin_Somaini
Justin Somaini.

Et SAP lui-même ? Voici quelques mois, l’éditeur a embauché Justin Somaini, l’ex-RSSI de Yahoo et Box, pour prendre la tête de la tête de son équipe sécurité (300 personnes, auxquels s’ajoutent 500 développeurs sensibilisés à ces questions). L’indication d’une volonté de l’Allemand de ne pas être pris en défaut sur ce sujet, comme l’a d’ailleurs confirmé le Pdg de SAP, Bill McDermott, lors du récent évènement que l’éditeur organisait en Floride (Sapphire). « Un des défis consiste à aider les RSSI de nos clients à mieux appréhender la complexité des environnements SAP, explique Justin Somaini, croisé à l’occasion de cette manifestation. Par ailleurs, appliquer les patchs au rythme de leur sortie reste également un challenge pour nos clients. C’est d’ailleurs une des raisons qui poussent à l’adoption de nos solutions Cloud. »

Si le constat est dressé, Somaini ne précise pas encore l’intégralité de son plan d’actions pour remédier aux problèmes identifiés, soulignant les efforts déjà accomplis par l’éditeur de Walldorf, notamment dans la communication sur les failles ou encore la production d’un code exempt de toute vulnérabilité. Pour ce faire, SAP emploie une batterie d’outils, développés en interne ou par des tiers, ainsi que des méthodes spécifiques (modélisation d’attaques, validations, tests de pénétration). « Entre 2014 et 2015, le nombre de vulnérabilités sur nos environnements a diminué de 50 %. C’est essentiel car, pour nos clients, tout déploiement de patch devient un défi opérationnel », reprend Justin Somaini. Le RSSI indique tout de même étudier l’organisation de Bug Bounties (concours de recherche de vulnérabilités, associés à des récompenses), via une ou des plateformes spécialisées. « Ces organisateurs de chasses aux bugs savent attirer de très bons chercheurs en sécurité », juge-t-il.

A lire aussi :

ERP : SAP domine Oracle, Infor déboulonne Microsoft Dynamics

Migrer vers S/4 Hana : c’est plus simple qu’avant, promet SAP

Avec Hana, SAP redécouvre la sécurisation des données