La découverte de failles de sécurité chez SAP a eu lieu quand Bowbridge Software a réalisé des tests aléatoires auprès de 120 entreprises utilisant l’app E-Recruiting de l’éditeur afin de vérifier les mesures prises pour assurer la sécurité de l’application. Déjà, pendant ces essais, le vendeur de solutions de sécurité a pu constater que 52 % des systèmes testés n'empêchaient pas le téléchargement de logiciels malveillants, à trois niveaux de sécurité critiques : les couches de transport, le processus d’enregistrement et le téléchargement de pièces jointes.

Par défaut, l’application E-Recruiting collecte des données personnelles. Les tests ont pu montrer que 81 % des implémentations utilisaient le cryptage SSL par défaut. Mais, sur plus de 30 % des sites, il était possible de contourner le cryptage SSL en modifiant simplement le protocole URL https:// en http://. Des investigations plus approfondies ont également permis de voir que moins de 12 % des systèmes testés obligeaient les utilisateurs à confirmer l'adresse électronique, faisant de ces portails des cibles faciles, et 38 % des systèmes seulement exigeaient des mots de passe répondant à des exigences minimales de longueur ou de complexité. Enfin, si 60 % des systèmes environ imposaient des restrictions sur les types de fichiers que les utilisateurs étaient autorisés à télécharger, près de 30 % des portails n’effectuaient aucun filtrage ou ne comportaient aucune restriction quant aux types de fichiers acceptés par l’application.

Des brèches inquiétantes 

Dans son rapport, Bowbridge Software estime qu'un tiers des applications et de leurs utilisateurs sont exposés à un large éventail de menaces utilisant les fichiers comme vecteur. « Sur plus de 60 % des systèmes testés, nous avons pu télécharger des fichiers arbitraires, dès l’instant où l'extension correspondait à la liste autorisée par l’application », indique ainsi le vendeur. Les tests ont également permis de mettre en évidence des brèches possibles par téléchargement de fichiers HTML intégrant du JavaScript, 31 % des systèmes permettant le téléchargement de fichiers JavaScript simples. De plus, les systèmes ont permis de télécharger des fichiers Java (fichiers .jar), Flash, Silverlight, Office avec des macros dans l'ancien format (CDF, antérieur à Office 2007) et des documents comportant des macros dans le nouveau format (OOXML). 29 % des systèmes ont permis de télécharger des fichiers exécutables Windows (.exe) et plus de 30 % ont permis le téléchargement de fichiers DOS exécutables (.com) et de bibliothèques partagées (.dll) dans le magasin de données de SAP. À cette liste, il faut également ajouter les fichiers PDF, XML et XSLT, et plus encore.

« Même si nos tests ne concernaient que l'application E-Recruiting, il est probable que nous obtenions les mêmes résultats pour toute application SAP basée sur le Web utilisée par les entreprises », a déclaré Jörg Schneider-Simon, le directeur technique de Bowbridge Software. « Si les entreprises ne sécurisent pas leurs applications SAP, elles prennent un énorme risque, non seulement avec leurs données, mais aussi pour leur avenir ». Ce dernier a voulu aussi rassurer les entreprises en précisant que tous les tests réalisés par Bowbridge étaient totalement non intrusifs. « Nous n’avons utilisé aucun script d'attaque, ni téléchargé de malware sur les systèmes cibles, et tous les fichiers téléchargés pour les besoins de nos tests ont été supprimés », a expliqué Jörg Schneider-Simon. « Pour les systèmes nécessitant un enregistrement, les faux profils (« John Doe ») ont été supprimés à la fin de nos tests si le système le permettait ». Lors de la conférence Leonardo Live qui se tenait à Francfort les 11 et 12 juillet derniers, l’éditeur allemand a déclaré que les travaux, encore à un stade peu avancé, qu’il mène actuellement en matière d’intelligence artificielle pourraient automatiser 40 % du marché de l’emploi aujourd'hui dans le monde.