Pour gérer vos consentements :

Comment s’acheter un MacBook pour 1 dollar via à une faille SAP

Xpress Server, la solution de SAP de gestion des points de vente (POS), a été victime d’une faille critique de sécurité.

Elle permettait non seulement à un attaquant de récupérer des informations confidentielles sur les consommateurs mais aussi prendre le contrôle du système de paiement, généralement des PC spécialement configurés et équipés d’un lecteur de code-barres, assurent Dmitry Chastuhin et Vladimir Egorov.

Les deux chercheurs d’ERPScan , du nom d’un éditeur californien spécialisé dans la cybersécurité des environnements SAP et Oracle, présentaient leurs travaux la semaine dernière dans le cadre de la conférence Hack in the Box de Singapour.

Outre le vol de numéro de carte de crédit et autres données sensibles des consommateurs, la vulnérabilité donne accès aux fonctions légitimes du système comme activer ou désactiver des terminaux de paiement à distance, ou encore changer le prix d’un article.

Pour exploiter la faille, il suffit de s’équiper d’un Raspberry Pie (à 25 dollars) pour installer le malware sur un terminal de paiement.

L’opération nécessite donc l’accès physique à un POS. Une manoeuvre relativement facile à effectuer, notamment dans les supermarchés, considèrent les chercheurs.

Dans la vidéo de démonstration postée par le fournisseur de solutions de sécurité applicative, les chercheurs font la démonstration d’acheter un MacBook pour 1 dollar (au lieu de 934).

A noter que, dans la vidéo, le paiement se fait à partir de la lecture magnétique de la carte bancaire. Un système qui a toujours cours aux Etats-Unis mais pas en Europe où la puce électronique et ses différents éléments sécurisés sont privilégiés.

80% des POS sous SAP

ERPScan avait prévenu SAP de sa trouvaille en avril 2017. SAP a corrigé son logiciel une première fois en juillet. Puis une seconde fois le 18 août dernier alors que des brèches de sécurité persistaient. Le système de vérification nouvellement implanté par l’éditeur européen pouvait être contourné en exploitant une autre vulnérabilité.

Un correctif indispensable alors que, issu du catalogue SAP for Retail, SAP POS est utilisé « par 80% des distributeurs du Forbes Global 2000 ».

« D’une manière générale, ce n’est pas un problème de SAP », commente Dmitry Chastuhin qui s’intéresse également aux autres systèmes de paiement comme Oracle Micros. « De nombreux systèmes POS ont une architecture similaire et donc les mêmes vulnérabilités. »

Les cas, nombreux, de piratage des POS, comme ceux de Home Depot ou Target qui ont défrayé la chronique en 2014, ont permis de renforcer les systèmes au fil du temps.

Mais selon le chercheur, les banques ont aussi leur part de responsabilité en n’intégrant pas les différentes normes de conformité alors que la connexion entre le POS et le serveur du magasin se révèle être le lien le plus faible.

« Elles n’ont pas les bases de la cybersécurité – les procédures d’autorisation et le cryptage, et personne ne s’en préoccupe, accuse l’expert en sécurité. Donc, une fois qu’un attaquant est dans le réseau, il ou elle obtient le contrôle total du système. »


Lire également
Wendy’s : un piratage à la sauce Target et Home Depot
Le malware PoSeidon met les terminaux point de vente en danger
Terminaux de paiement : un même mot de passe utilisé depuis 25 ans

crédit photo : LDprod / Shutterstock

Recent Posts

Cambridge Analytica, le retour : Zuckerberg poursuivi aux États-Unis

Un procureur américain considère Mark Zuckerberg personnellement responsable des conséquences de l’affaire Cambridge Analytica sur…

22 heures ago

ITSM : EasyVista change avec Patrice Barbedette CEO

Patrice Barbedette (ex-Oracle) pilote la nouvelle phase de croissance d'EasyVista en Europe et à l'international,…

22 heures ago

Gestion de données : Databricks muscle sa direction juridique

Databricks a recruté sa responsable juridique et vice-présidente chez DocuSign pour soutenir l'exigence de conformité…

1 jour ago

Microsoft Build 2022 : beaucoup d’IA…et du Metavers au menu

A l’occasion de Build, sa conférence annuelle dédiée aux développeurs, Microsoft a fait la part…

1 jour ago

Taxe GAFA : pas avant 2023…au mieux

Très attendue, la réforme de taxation internationale des géants du numérique - dite taxe GAFA…

1 jour ago

DevOps : GitLab 15 parie gros sur l’observabilité

Avec la v15 de sa plateforme, GitLab ambitionne d'améliorer sa proposition de valeur dans la…

2 jours ago