À l’intérieur de la faille SAP S/4HANA : comment les hackers ont percé l’épine dorsale des entreprises

La faille dans la forteresse de l’entreprise

Imaginez un gratte-ciel où une simple porte latérale oubliée permet à un voleur d’accéder à tous les coffres, bureaux et dossiers secrets. C’est la métaphore glaçante de CVE-2025-42957, une vulnérabilité critique de SAP S/4HANA désormais exploitée par des hackers. Le logiciel ERP de SAP constitue l’épine dorsale numérique de milliers de multinationales - gérant tout, de la paie à la chaîne d’approvisionnement. Quand cette colonne vertébrale est compromise, c’est tout le corps de l’entreprise qui est en danger.

Analyse du bug

Divulguée et corrigée pour la première fois en août 2025, CVE-2025-42957 est une faille d’injection de code ABAP tapie dans un module de fonction distante (RFC) de SAP S/4HANA. En termes simples : si un attaquant peut se connecter, même avec un compte de bas niveau, il peut glisser des commandes malveillantes dans le système - contournant les contrôles de sécurité et prenant le contrôle en tant qu’administrateur tout-puissant. Selon SecurityBridge, la société allemande de sécurité SAP qui a découvert la faille, l’exploitation nécessite peu d’efforts techniques et peut être réalisée à distance via le réseau.

Les chercheurs de Pathlock et SecurityBridge ont tous deux confirmé que la faille est activement exploitée. Pathlock a détecté des « activités anormales » typiques d’attaques réelles, tandis que SecurityBridge a démontré à quel point il est facile pour les attaquants d’escalader leurs privilèges, de créer des portes dérobées, de voler des données ou de déployer des ransomwares. Comme le code ABAP de SAP est ouvert à l’inspection, rétroconcevoir le correctif pour produire des exploits fonctionnels est presque trivial pour des hackers expérimentés - un point souligné dans les rapports de BleepingComputer et Dark Reading.

Impact business : leçons des attaques passées

Ce n’est pas la première fois que SAP frôle la catastrophe. Plus tôt en 2025, une faille zero-day dans NetWeaver (CVE-2025-31324) a provoqué une vague d’attaques après sa divulgation, causant le chaos opérationnel chez les entreprises non corrigées. Le schéma est connu : une vulnérabilité critique est découverte, des correctifs sont publiés, mais les attaquants se précipitent pour exploiter ceux qui tardent à mettre à jour. Dans le cas de CVE-2025-42957, même un simple mail de phishing donnant un accès utilisateur minimal pourrait suffire à déclencher une compromission totale.

Le Centre national néerlandais pour la cybersécurité et SAP eux-mêmes ont publié des alertes urgentes, avertissant que le risque n’est pas hypothétique. La faille affecte les éditions sur site et cloud privé de S/4HANA, ainsi que des produits connexes comme SAP NetWeaver et Business One. Des experts comme Shane Barney, CISO chez Keeper Security, qualifient cela d’« exemple type » des dangers de l’exécution dynamique de code dans les logiciels d’entreprise.

Enjeux mondiaux et course au correctif

Pourquoi cela concerne-t-il plus que le service informatique ? Les systèmes SAP traitent le cœur du commerce mondial - si des attaquants en prennent le contrôle, ils peuvent voler des données financières, perturber les chaînes d’approvisionnement ou installer des ransomwares capables de paralyser des industries entières. La facilité d’exploitation, combinée à l’importance de ces systèmes, fait craindre des attaques ciblées par des criminels ou même des acteurs étatiques cherchant à déstabiliser des infrastructures économiques vitales.

La correction est la seule défense fiable. Les notes de sécurité SAP 3627998 et 3633838 fournissent les correctifs, et les organisations sont invitées à patcher immédiatement et à surveiller toute activité administrative suspecte. Comme le rappelle SecurityBridge, « les attaquants savent déjà comment l’exploiter - laisser des systèmes SAP non corrigés, c’est les exposer ».

Conclusion : le prix de l’attente

Avec les portes numériques des géants mondiaux entrouvertes, CVE-2025-42957 est bien plus qu’un simple bug technique - c’est un signal d’alarme. Dans la course entre correctif et exploitation, l’hésitation peut être fatale. Pour les clients SAP, le message ne saurait être plus clair : corrigez maintenant, ou prenez le risque de remettre les clés du royaume aux adversaires qui rôdent déjà à la porte.