C’est une information diffusée par Reuters aux Etats-Unis mais qui devrait intéresser de nombreux utilisateurs d’Oracle et de SAP partout dans le monde. Le Département de la sécurité du territoire américain a lancé une alerte après la publication d’une étude réalisée par les spécialistes de la sécurité Digital Shadow et Onapsis qui mettent en lumière les risques auxquels s’exposent les entreprises utilisant des versions non corrigées des deux ERP. Selon eux, ces versions permettent aux pirates informatiques de s’approprier les secrets de l’entreprise.

Deux agences gouvernementales américaines ainsi que des entreprises des secteurs de la finance, de l’énergie et des finances qui n’avaient pas jugé bon d’installer les mises à jour de ces ERP, ni pris les mesures de sécurité préconisées par Oracle et SAP ont ainsi été la proie des hackers.

Une note intitulée « Malicious cyber activity targeting ERP applications » (cybersécurité malveillante visant des applications ERP) publiée par le Département de la sécurité du territoire indique que ce type d’activité malveillante est en forte croissance. « Ces attaquants sont prêts à exploiter des risques vieux de plusieurs années qui leur donnent un accès complet aux systèmes Oracle et SAP sans être détectés », a expliqué à Reuters le CEO d’Onapsis, Mario Nunez. « Le niveau d’urgence pris en considération par les responsables de la sécurité et les directeurs généraux devrait être beaucoup plus élevé. » Dans leur étude, Digital Shadow et Onapsis estiment qu’environ 17.000 logiciels SAP et Oracle utilisés par plus de 3.000 grandes entreprises, agences gouvernementales et universités sont ainsi exposés. Selon ces spécialistes, plus de 4.000 bugs dans les logiciels SAP et Oracle posent des problèmes de sécurité, concernant tout spécialement d’anciens systèmes dont la mise à jour n’est pas économiquement justifiée selon les équipes informatiques.

Une des pires attaques connues a eu lieu au cours des années 2013 et 2014 lorsque les pirates informatiques ont utilisé une faille dans SAP pour pénétrer dans le système de l’U.S. Investigations Service, un service qui vérifie les antécédents des employés fédéraux et les autorisations en matière de sécurité. Cette année, les hackers ont commencé à exploiter une vulnérabilité dans les serveurs WebLogic, constatée par Oracle dès le mois d’octobre dernier. Ils ciblaient notamment les systèmes Oracle PeopleSoft afin de gagner de l’argent avec de la cryptomonnaie indique le rapport. En analysant les recherches sur Google, les chats sur les réseaux sociaux et le « dark web » Digital Shadows a par ailleurs intercepté des discussions sur des forums de hackers chinois et russes à propos de l’utilisation de failles dans SAP et Oracle.