Comment s'acheter un MacBook pour 1 dollar via à une faille SAP
Publié par Christophe Lagane le | Mis à jour le
Une faille dans un serveur SAP permet de prendre le contrôle total du système de paiement, autant pour voler les données confidentielles des clients que pour modifier le prix des articles.
Xpress Server, la solution de SAP de gestion des points de vente (POS), a été victime d'une faille critique de sécurité.
Elle permettait non seulement à un attaquant de récupérer des informations confidentielles sur les consommateurs mais aussi prendre le contrôle du système de paiement, généralement des PC spécialement configurés et équipés d'un lecteur de code-barres, assurent Dmitry Chastuhin et Vladimir Egorov.
Les deux chercheurs d'ERPScan , du nom d'un éditeur californien spécialisé dans la cybersécurité des environnements SAP et Oracle, présentaient leurs travaux la semaine dernière dans le cadre de la conférence Hack in the Box de Singapour.
Outre le vol de numéro de carte de crédit et autres données sensibles des consommateurs, la vulnérabilité donne accès aux fonctions légitimes du système comme activer ou désactiver des terminaux de paiement à distance, ou encore changer le prix d'un article.
Pour exploiter la faille, il suffit de s'équiper d'un Raspberry Pie (à 25 dollars) pour installer le malware sur un terminal de paiement.
L'opération nécessite donc l'accès physique à un POS. Une manoeuvre relativement facile à effectuer, notamment dans les supermarchés, considèrent les chercheurs.
Dans la vidéo de démonstration postée par le fournisseur de solutions de sécurité applicative, les chercheurs font la démonstration d'acheter un MacBook pour 1 dollar (au lieu de 934).
A noter que, dans la vidéo, le paiement se fait à partir de la lecture magnétique de la carte bancaire. Un système qui a toujours cours aux Etats-Unis mais pas en Europe où la puce électronique et ses différents éléments sécurisés sont privilégiés.
80% des POS sous SAP
ERPScan avait prévenu SAP de sa trouvaille en avril 2017. SAP a corrigé son logiciel une première fois en juillet. Puis une seconde fois le 18 août dernier alors que des brèches de sécurité persistaient. Le système de vérification nouvellement implanté par l'éditeur européen pouvait être contourné en exploitant une autre vulnérabilité.
Un correctif indispensable alors que, issu du catalogue SAP for Retail, SAP POS est utilisé « par 80% des distributeurs du Forbes Global 2000 ».
« D'une manière générale, ce n'est pas un problème de SAP », commente Dmitry Chastuhin qui s'intéresse également aux autres systèmes de paiement comme Oracle Micros. « De nombreux systèmes POS ont une architecture similaire et donc les mêmes vulnérabilités. »
Les cas, nombreux, de piratage des POS, comme ceux de Home Depot ou Target qui ont défrayé la chronique en 2014, ont permis de renforcer les systèmes au fil du temps.
Mais selon le chercheur, les banques ont aussi leur part de responsabilité en n'intégrant pas les différentes normes de conformité alors que la connexion entre le POS et le serveur du magasin se révèle être le lien le plus faible.
« Elles n'ont pas les bases de la cybersécurité - les procédures d'autorisation et le cryptage, et personne ne s'en préoccupe, accuse l'expert en sécurité. Donc, une fois qu'un attaquant est dans le réseau, il ou elle obtient le contrôle total du système. »
Lire également
Wendy's : un piratage à la sauce Target et Home Depot
Le malware PoSeidon met les terminaux point de vente en danger
Terminaux de paiement : un même mot de passe utilisé depuis 25 ans