Un ticket pour les gouverner tous - Autorisation et authentification sur SAP — Aloïs Colléaux-Le Chêne
Date : 04 juin 2026 à 15:15 — 30 min.
Un système SAP ERP, aussi appelé simplement SAP, est un environnement de logiciels assistant les entreprises dans de nombreux processus métier (Gestion des stocks, paies des employés, gestion clients, etc.). En vertu de sa fonction, un tel système héberge et a accès à une quantité importante de données sensibles, telles que des coordonnées bancaires, des fiches de paies ou des secrets industriels. Cependant, SAP est un environnement fermé, peu accessible pour des entreprises de cybersécurité. Il existe peu de recherches sur la sécurité de cet environnement pourtant complexe. À raison, les logiciels SAP sont payants et réservés aux entreprises clientes. L'outillage public est limité et vieillissant pour la plupart, voire abandonné.
Ici, Synacktiv souhaite apporter sa pierre à l'édifice en éclaircissant deux concepts fondamentaux d'un système SAP : l'authentification des utilisateurs et leurs autorisations. Des outils open-source permettant d'explorer ces concepts, et de les exploiter, seront publiés à l'issue de la présentation.
Au-delà de l'outillage développé, ce document détaille l'analyse du format propriétaire des "Logon Tickets", jusqu'ici peu documenté publiquement. Nous démontrerons comment ce mécanisme permet de transformer une lecture de fichier arbitraire sur un système SAP, en une compromission totale du système dans sa configuration par défaut. Bien qu'elle soit peu connue, cette fonctionnalité de "Logon Ticket" est prévue par l'éditeur et par conséquent n'est pas une vulnérabilité.