Information et éducation par et pour la communauté SAP
Chronique sur la sécurité informatique, Mag 23-06

(In)sécurité dans l'environnement SAP

La bonne nouvelle : les systèmes SAP productifs ont résisté à tous les contrôles des auditeurs et ont poussé les testeurs d'intrusion au désespoir. Et puis : un attaquant s'est emparé du système hautement sécurisé.
Thomas Werth, Werth IT
4 juillet 2023
Contenu :
En-tête it security
avatar
Ce texte a été automatiquement traduit en français de l'allemand

La réponse se trouve dans l'environnement SAP, ou plutôt dans les systèmes Q et Dev, les gestionnaires de solutions et les systèmes hérités, ainsi que dans les clients des utilisateurs, que les auditeurs n'avaient pas sous les yeux. Des configurations incomplètes ou erronées au sein de l'environnement SAP peuvent finalement conduire à la compromission de systèmes considérés comme sûrs.

Deux scénarios exemplaires illustrent des "attaques latérales" typiques sur des systèmes apparemment hautement sécurisés et productifs. Ils permettent à un attaquant d'obtenir un accès complet sans utiliser une faille ou une mauvaise configuration du système cible.

Attaques via le lieu de travail

Le premier scénario décrit le passage par le PC d'un utilisateur pour accéder au système SAP productif et hautement sécurisé : qu'il s'agisse de phishing, de ransomware, de campagnes APT ou de la prochaine vague de programmes malveillants comme WannaCry, il arrive malheureusement régulièrement dans les entreprises que les PC clients soient détournés et contrôlés à distance malgré toutes les mesures de protection prises, comme les programmes antivirus ou les pare-feu.

Une fois que les pirates ont pris le contrôle d'un client, ils étendent rapidement l'accès à d'autres clients (lateral movement). Ce n'est qu'une question de temps avant qu'un attaquant ne contrôle le client d'un administrateur de base ou d'un utilisateur SAP. En effet, il est beaucoup plus facile d'obtenir un accès via des attaques sur les systèmes Windows et sur l'utilisateur que d'attaquer directement le système SAP.

En outre, de nombreuses entreprises utilisent le Single Sign-on (SSO) pour l'authentification afin d'éliminer les mots de passe. Tant qu'une authentification à deux facteurs n'est pas utilisée, le SSO convient très bien aux attaquants comme porte d'entrée dans le système SAP - et ce, sans aucun mot de passe unique ! En effet, tant que l'attaquant se déplace dans le contexte de l'administrateur SAP sur son PC, le mécanisme SSO effectue l'authentification en arrière-plan et l'attaquant peut accéder directement et sans autre effort au système SAP dans le contexte de l'utilisateur admin. Quelques scripts Powershell et une connexion RFC au système SAP suffisent à l'attaquant pour y accéder.

Authentification à 2 facteurs

Pour se protéger efficacement contre de telles attaques, une authentification à deux facteurs est absolument nécessaire. Dans le deuxième scénario, les destinations RFC entre les systèmes SAP jouent un rôle décisif. Chaque fois que de nouvelles fonctionnalités ou versions doivent être testées, un système Sandbox n'est pas loin. On copie volontiers ici l'ensemble du système productif afin de permettre un test proche de la réalité. 

Les développeurs ou les testeurs bénéficient de droits accrus dans le système Sandbox, ce qui leur permet d'identifier et de résoudre rapidement les problèmes. Mais ce système de sandbox peut rapidement entraîner la chute du système productif, considéré comme hautement sécurisé. Cela peut se produire dès qu'il est possible de sélectionner un module de fonction distant pour la réinitialisation du mot de passe et une destination RFC vers un système de production. Un utilisateur cible sélectionné reçoit alors un nouveau mot de passe - et l'attaquant peut accéder librement au système de production. De telles attaques peuvent être empêchées en n'autorisant systématiquement aucune connexion privilégiée des systèmes "inférieurs" vers les systèmes "supérieurs". En outre, toutes les destinations RFC critiques doivent être retirées de la sandbox après la copie du système.

Même des systèmes très sûrs et nécessitant peu d'efforts peuvent être compromis. Pour évaluer la sécurité du système, il faut vérifier l'ensemble de l'environnement SAP. Contrôler uniquement les systèmes de production ou la ligne ERP conduit à une évaluation lacunaire. Il est important de disposer d'un logiciel de contrôle qui effectue ce travail global. Ce n'est qu'en ayant une vue d'ensemble de son environnement SAP que l'on peut identifier et empêcher efficacement les attaques latérales sur les systèmes critiques !

werth-it.de

avatar
Thomas Werth, Werth IT

Thomas Werth est directeur général de Werth IT


Tous les articles de l'auteur

Écrire un commentaire

Intelligence artificielle : le pas de l'idée à la production

Communication numérique pour SAP : Retarus Cloud Services

Atos reçoit le Golden Certificate de SAP en tant que Global Operations Partner

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.