Alexander Polyakov, CTO de ERPScan, a montré lors de la conférence Hack In The Box, qui s’est tenue du 21 au 25 août 2017 à Singapour, à quel point il était facile de pirater un terminal de point de vente SAP, et d’en prendre le contrôle presque entier.

En fait, comme il se doit pour le piratage éthique, ERPScan a informé SAP en toute confidence en avril dernier des failles sécuritaires de son système, lui laissant le temps de développer des correctifs de sécurité. SAP aurait alors autorisé ERPScan à présenter ses travaux lors de la conférence.

La cause principale du problème était que, pour la plupart des fonctions critiques, le SAP Xpress POS Server, un serveur intermédiaire entre le terminal et les serveurs au siège d’un commerçant, n’exigeait aucun type d’authentification !

Un pirate n’avait qu’à trouver un moyen de se connecter au réseau du terminal de point de vente SAP, un réseau souvent exposé à Internet.

Même si ce n’est pas le cas, il suffit d’acheter un nano ordinateur de type Raspberry Pi, pour environ 20 euros, et de le connecter à des balances électroniques dans le magasin.

Une fois dedans, le pirate a tout loisir de contrôler le terminal ou le serveur, pour définir des prix ou des bons de réduction, par exemple pour s’offrir un MacBook Pro pour un euro.

Le serveur XPOS reçoit les nouvelles configurations du pirate, qui n’a plus qu’à lui envoyer une commande pour redémarrer les terminaux. Ces derniers, à la réinitialisation, téléchargent automatiquement les nouvelles configurations du serveur.

Il ne reste plus qu’à en profiter.

La solution de points de vente de SAP serait utilisée par 80 % des distributeurs du Forbes Global 2 000.

Il leur est fortement recommandé de télécharger et d’appliquer tous les correctifs de sécurité du 21 août 2017 (voir SAP Security Note 2476601 et 2520064), sans quoi leurs systèmes restent vulnérables.