+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 971
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 971
    Points : 66 306
    Points
    66 306

    Par défaut Une faille critique dans une solution SAP de gestion de points de vente

    Une faille critique dans une solution SAP de gestion de points de vente
    permet à des hackers d'acheter un MacBook à 1 dollar

    Des chercheurs de la firme de sécurité informatique ERPScan ont découvert une vulnérabilité dans Xpress Server, la solution de SAP de gestion des points de vente (POS). En cas d'exploitation, les attaquants pourraient exploiter le système pour modifier les prix et les remises de n’importe quel produit.

    Selon Dmitry Chastuhin et Vladimir Egorov, « SAP POS Xpress Server n'effectue pas de vérification d'authentification pour les fonctionnalités critiques qui requièrent l'identité de l'utilisateur. En conséquence, les fonctions administratives et autres fonctions privilégiées peuvent être consultées sans aucune procédure d'authentification, ce qui permet à quiconque accède au réseau de modifier les prix ou de définir des réductions. »

    Ils ont rappelé que SAP POS, qui dessert 80 % des détaillants dans le Forbes Global 2000, est constitué des éléments suivants :

    • des applications client qui sont installées sur un terminal POS situé dans un magasin; cette partie est utilisée pour traiter les transactions ;
    • un serveur de stockage, dont les composants opèrent en back-office et apportent des fonctions opérationnelles, de connectivité et d'administration. Parmi elles, figure le serveur POS Xpress, une application serveur au niveau du magasin ;
    • des applications fonctionnant dans le siège social pour permettre la gestion centrale.

    Dans le scénario d’attaque qu’ils ont décrit, ils ont expliqué que :
    • pour exploiter les contrôles manquants d'autorisation dans le serveur SAP POS Xpress, il faut avoir accès au réseau où se trouve SAP POS. Ce réseau peut être exposé à Internet, donc l'attaque peut être menée à distance. Sinon, il est encore possible d'accéder, par exemple, en connectant Raspberry Pi à des balances électroniques dans un magasin ;
    • cela signifie que pour accéder au réseau d'un poids lourd de la vente au détail, vous n’avez besoin que d'un outil, qui coûte seulement 25 $ ;
    • une fois que vous y êtes, vous avez un contrôle illimité sur le backend et le frontend du système POS, car l'outil peut télécharger un fichier de configuration malveillant sur SAP POS Xpress Server sans aucune procédure d'authentification ;
    • les nouveaux paramètres sont limités par l'imagination des pirates : ils peuvent fixer des prix ou des rabais spéciaux, le moment où la remise est valide, les conditions dans lesquelles il fonctionne – par exemple lors de l'achat d'un produit spécifique. Dans leur cas, les chercheurs ont opté pour une réduction incroyable pour un MacBook qu’ils ont fixé à 1 dollar ;
    • le Xpress Server reçoit de nouveaux paramètres. Pour les appliquer, le hacker envoie certaines commandes au serveur Xpress afin qu'il redémarre un terminal POS. Ce dernier, à son tour, télécharge les configurations de l'attaquant et les applique ;
    • par la suite, il ne reste plus à l’attaquant que d'acheter un MacBook incroyablement bon marché.


    Outre la possibilité de changer les prix, les chercheurs notent que cette vulnérabilité permet également de voler des données comme les numéros de carte de crédit et d’autres données sensibles des consommateurs.

    Les chercheurs ont présenté leurs travaux la semaine dernière dans le cadre de la conférence Hack in the Box de Singapour.

    La bonne nouvelle c’est que SAP a été prévenu en avril et a eu le temps d’effectuer une première correction de son logiciel en juillet, puis une seconde fois le 18 août lorsqu’il est apparu que des brèches de sécurité persistaient.

    Source : ERPscan
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé
    Homme Profil pro
    alternant base de donnée
    Inscrit en
    novembre 2015
    Messages
    189
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : alternant base de donnée
    Secteur : Industrie

    Informations forums :
    Inscription : novembre 2015
    Messages : 189
    Points : 673
    Points
    673

    Par défaut

    Où est le problème ? 1$ pour le MacBook c'est cher payer je trouve ...

    Pour ne pas passer pour un boulet :
    http://coursz.com/difference-entre-r...-et-gddr4.html

  3. #3
    Membre actif
    Profil pro
    Inscrit en
    juin 2006
    Messages
    104
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 104
    Points : 233
    Points
    233

    Par défaut

    Après utiliser SAP c'est tendre la perche pour se faire battre



  4. #4
    Membre expert
    Avatar de e-ric
    Homme Profil pro
    Traqueur de tritons et autres bestioles
    Inscrit en
    mars 2002
    Messages
    1 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Traqueur de tritons et autres bestioles

    Informations forums :
    Inscription : mars 2002
    Messages : 1 481
    Points : 3 592
    Points
    3 592

    Par défaut

    Salut

    La vérité c'est que les logiciels deviennent monstrueusement complexes et les entreprises font trop souvent confiance à des solutions externalisées propriétaires.
    A force plus personne ne maîtrisera rien malgré les beaux discours et cela touche pas uniquement le monde du logiciel malheureusement.

    Cdlt

    M E N S . A G I T A T . M O L E M
    Debian 8.x 64bit, Lazarus 1.6 (FPC 3.0), Python 3

    "La théorie, c'est quand on sait tout, mais que rien ne marche. La pratique, c'est quand tout marche, mais qu'on ne sait pas pourquoi. En informatique, la théorie et la pratique sont réunies: rien ne marche et on ne sait pas pourquoi!".
    Mais Emmanuel Kant disait aussi : "La théorie sans la pratique est inutile, la pratique sans la théorie est aveugle."

  5. #5
    Expert confirmé
    Avatar de shenron666
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2005
    Messages
    2 381
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : avril 2005
    Messages : 2 381
    Points : 5 114
    Points
    5 114

    Par défaut

    Citation Envoyé par e-ric Voir le message
    les entreprises font trop souvent confiance à des solutions externalisées propriétaires.
    Sauf que SAP n'est pas une solution mais un problème

    Tutoriels OpenGL
    Je ne répondrai à aucune question en MP
    - Si c'est simple tu dis que c'est compliqué et tu le fait
    - Si c'est compliqué tu dis que c'est simple et tu le sous-traite ou le fait faire par un stagiaire.

Discussions similaires

  1. Réponses: 3
    Dernier message: 29/06/2017, 13h21
  2. Adobe corrige une faille critique dans Flash
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2014, 20h09
  3. Réponses: 3
    Dernier message: 14/08/2013, 12h08
  4. Un hacker surdoué de 12 ans trouve une faille critique dans Firefox
    Par Gordon Fowler dans le forum Actualités
    Réponses: 22
    Dernier message: 28/10/2010, 09h01
  5. Réponses: 6
    Dernier message: 13/11/2009, 16h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo