La moitié des serveurs SAP dans l’internet peuvent être piratés, affirme le spécialiste Polyakov d’ERPScan à BlackHat 2011.
La moitié des serveurs SAP dans l’internet peuvent être piratés, affirme le spécialiste Polyakov d’ERPScan à BlackHat 2011. Alexander Polyakov, CTO d’ERPScan, a expliqué lors de la conférence sur la sécurité Black Hat organisée à Las Vegas que les serveurs SAP dans l’internet peuvent être piratés en raison d’un problème au niveau du moteur J2EE dans le logiciel NetWeaver de SAP, ce qui permet d’éviter les contrôles d’autorisation.
Plyakov affirme qu’il est parvenu à créer des utilisateurs en tant que membres du groupe admin en adressant deux requêtes non autorisées au système. Et ce serait également possible sur des systèmes sécurisés par des solutions d’authentification à deux facteurs.
Dans le cadre d’un test, ERPScan a recherché des serveurs SAP dans l’internet. A l’entendre, 50 pour cent des systèmes trouvés pouvaient être piratés de cette manière. Polyakov prétend que “ce n’est pas là seulement un nouveau point faible, mais bien toute une catégorie de vulnérabilités qui n’étaient précédemment considérées que comme théoriquement possibles, mais qui ne se manifestaient pas vraiment dans la pratique.”
“Lors de notre recherche, nous n’avons certes trouvé que divers exemples au niveau de la configuration système standard, mais comme les entreprises adaptent leurs systèmes à leurs processus, de nouvelles variantes de cette catégorie pourraient être découvertes à l’avenir dans les entreprises.”
Sur le site d’ERPScan, l’on peut lire que Polyakov tiendra aussi le 19 septembre prochain la conférence belge des spécialistes de la sécurité Brucon à Bruxelles.
