Avec Hana, SAP redécouvre la sécurisation des données

Reynald Fléchaux,

La société Onapsis recense une dizaine de failles dans la base de données SAP Hana, certaines apparaissant comme critiques. L’éditeur a déjà publié les correctifs correspondant.

Au cours des derniers mois, SAP a patché une dizaine de failles dans sa base de données In-Memory Hana. Certaines concernaient des problèmes de corruption de mémoire, d’autres pouvaient déboucher sur des attaques XSS (cross-site scripting) ou par injection SQL, selon les informations dévoilées cette semaine par Onapsis, la société qui a découvert ces vulnérabilités. Une des failles les plus significatives, affectant le client HDBSQL, permettait à un assaillant, via l’entrée d’une séquence de données particulière, de tromper l’interface de management pour exécuter des commandes ou modifier toute donnée stockée dans le système. Une autre permettait à distance de lire des informations stockées dans Hana et d’ajuster certains paramètres pour empêcher l’accès au système d’utilisateurs légitimes. Une autre faille permettait par injection SQL de compromettre en partie le système, d’en changer la configuration ou encore d’effacer les paramètres de connexion des utilisateurs.

Clef statique dans Hana

Ces failles ont déjà été patchées par SAP, pour la plupart en mai et juin de cette année. Mais Onapsis, à l’origine de leur découverte, a attendu fin septembre pour les rendre publiques. Spécialisée dans la sécurité des systèmes SAP et Oracle, la société a publié en mai dernier une étude montrant que 95 % des systèmes SAP sont vulnérables aux attaques. En cause : la propension du premier éditeur européen à multiplier les patchs (391 pour la seule année 2014) que les administrateurs ne peuvent pas toujours appliquer, les systèmes SAP en production gérant des activités indispensables à la bonne marche de l’entreprise.

En basant sa stratégie sur sa propre base de données, plutôt qu’en se reposant sur les technologies d’autres éditeurs (au premier rang desquels Oracle) comme c’était le cas auparavant, SAP accroit la surface d’attaque sur ses systèmes. Surtout, en stockant les données essentielles de l’organisation, Hana constitue une cible de choix pour des pirates motivés par le vol de secrets industriels.

En juin dernier, les chercheurs en sécurité d’ERPScan, une autre société spécialisée, avait déjà découvert un bug de sécurité dans Hana. A la BlackHat Europe, ils avaient montré qu’une clef de chiffrement par défaut, une clef statique insuffisante pour se protéger d’attaques sophistiquées, protégeait des mots de passe, des données et des sauvegardes sur le système SAP.

A lire aussi :

La France, le premier marché européen pour SAP Hana
Marc Genevois, SAP : « notre croissance ne vient pas des audits de licences ! »