Tom Eston et Brett Kimmel qui travaillent chez SecureState ont présenté à la conférence Black Hat d'Abu Dhabi un malware expérimental capable de pirater le logiciel Dynamics Great Plains, un ERP de Microsoft notamment destiné aux PME. Un livre blanc sur la méthode utilisée est disponible sur le site web de la société de sécurité.

Connu sous le nom de Projet Mayhem, ces outils ont été créés par des experts techniques et un comptable certifié. En effet, Matthew Neely, directeur de la recherche et de l'innovation chez SecureState, explique que « pour pirater un système ERP, il faut plus que de simples compétences techniques. Un comptable est nécessaire pour valoriser les informations de la base de données, mais aussi manipuler les comptes sans être détecté ».

Sur l'aspect technique, les chercheurs ont trouvé un moyen d'accéder à la base de données Microsoft SQL Server via le client Great Plains. Pour que cela se produise, le pirate devra inciter l'utilisateur de l'ERP à cliquer sur une pièce jointe malveillante ou visiter un site lui permettant de télécharger le code. Une fois que ce code est installé, il est capable d'intercepter les communications par ODBC entre le client et la base de données, mais aussi injecter des commandes. Matthew Neely précise, « la connexion ODBC est l'équivalent d'une ligne téléphonique entre le client et la base de données. Nous l'utilisons pour écouter ce qui se dit, mais aussi pour parler ».

Des transformations en profondeur et dangereuses

Le pirate a pu ainsi manipuler des données financières, transférer des fonds vers un compte à l'extérieur. Les chercheurs de SecureState ont été en mesure de modifier l'adresse des fournisseurs, d'en créer un nouveau, de changer les enregistrements des livres comptables, d'augmenter les autorisations de crédit d'un client, etc.

Le malware pourrait ne pas être détectable par les solutions d'antivirus. Les chercheurs ne l'ont pas rendu trop complexe en se situant sur le plan expérimental. L'objectif pour les scientifiques est de montrer que les entreprises n'ont pas uniquement besoin de services de sécurité informatique, mais également de vérifications régulières sur les données comptables en cas d'entrées inhabituelles. Le problème des ERP non corrigés est aussi évoqué pour les questions de sécurité. En mai dernier, un cabinet de conseil, Onapsis, a publié une étude où 95% des 600 systèmes SAP testés étaient vulnérables aux attaques, en raison de correctifs non appliqués.