L’éditeur Wiz, très en vue depuis que le Wall Street Journal a affirmé que Google envisageait son acquisition, révèle l’existence de failles dans SAP AI Core exposant les données des clients ! Heureusement, les failles ont pu être comblées avant d’être exploitées par des cybercriminels.
SAP pousse de plus en plus une migration vers le Cloud et l’adoption de ses technologies IA. Mais l’information de la semaine risque de refroidir des DSI pas toujours très convaincus par les pressions de l’éditeur pour migrer et moderniser leurs infrastructures SAP.
Ainsi, les chercheurs en cybersécurité et en sécurisation des clouds de la startup Wiz ont dévoilé cette semaine l’existence de plusieurs failles de sécurité dans la plateforme SAP AI Core permettant aux utilisateurs de développer, entraîner et exécuter des services d’intelligence artificielle au-dessus des données du célèbre ERP.
Wiz démontre comment ces failles permettent de lire et modifier les images Dockers du repository de SAP, d’obtenir des privilèges administrateur sur le cluster SAP AI Core et d’accéder aux identifiants cloud des clients. Les chercheurs ont aussi réussi à exécuter du code arbitraire et ainsi accéder aux données sensibles des clients.
Wiz indique que toutes les vulnérabilités identifiées ont été signalées à SAP et ont depuis été corrigées. SAP a confirmé qu’aucune donnée client n’a été compromise.
« Cette recherche démontre les nouveaux défis uniques que le processus de R&D en IA introduit », a déclaré Wiz. « L’entraînement de l’IA nécessite par définition l’exécution de code arbitraire ; par conséquent, des garde-fous appropriés doivent être mis en place pour garantir que le code non fiable soit correctement séparé des actifs internes et des autres clients. »
L’enquête de Wiz doit cependant interpeler tous les RSSI sur les éventuels problèmes d’isolation des nombreuses plateformes IA qui se multiplient chez les fournisseurs de Cloud avec une célérité pas toujours très compatible avec les bonnes pratiques cyber.