Les investigateurs du bureau de l’ERPScan ont relevé plus tôt dans l’année une faille de sécurité dans les terminaux de caisse SAP. Ils ont démontré que le piratage de ces terminaux était possible rien qu’avec un Raspberry Pi. Ce micro-ordinateur permettrait de subtiliser des informations de cartes bancaires, mais aussi d’avoir accès à des avantages comme procéder au changement des prix, au démarrage des terminaux à distance ou encore à leur mise en arrêt.
SAP compte parmi les TPV les plus utilisés au monde. Les TPV ou Terminaux Point de Ventes sont des proies idéales pour les cybercriminels. Les détaillants les utilisent pour le traitement des transactions électroniques. L’année dernière, plus de douze malwares ont déjà pris ces terminaux pour cibles rapporte FireEye.
Les cyberpirates ont même été jusqu’à attaquer le Cloud d’une trentaine de milliers d’entreprises utilisant Lightspeed comme système de distribution.
Une faille signalée en avril
Le Forbes Global 2000 représente quatre-vingts pour cent des détaillants aux États-Unis et ils utilisent le SAP Point Of Sale comme terminal de point de vente. Le 24 août 2017, ce dernier a été passé au peigne fin par le cabinet ERPScan à la conférence Hack in the Box qui s’est tenue à Singapour.
Lors de cette conférence, SAP est passé sur le grill. Le sujet de l’exploitation de la vulnérabilité du système de SAP a notamment été abordé. Ce problème de sécurité avait été déjà signalé au mois d’avril. Pourtant, c’est seulement le 21 août 2017 que des mesures de correction ont été prises.
Des correctifs de sécurité disponibles
Vladimir Egorov et Dmitry Chastuhin, tous deux chercheurs du cabinet ERPScan ont démontré comment un Raspberry Pi pouvait pirater le système de réseau des TPV et d’y installer un logiciel malveillant. Le Raspberry Pi en question coûte une vingtaine d’euros, mais par son biais, un cybercriminel pourrait déjà s’infiltrer sur le réseau d’un TPV.
Dans l’exemple qu’ils ont montré, en l’occurrence un MacBook, ces deux investigateurs ont montré qu’un malware installé dans le réseau du TPV pouvait servir à faire baisser dérisoirement le prix d’un article sans que l’opérateur de caisse n’en soit alarmé.
L’éditeur recommande aux clients d’appliquer les correctifs de sécurité et d’installer le dernier patch publié en mi-aout.