Sécurité

Des dizaines de millions d’imprimantes HP LaserJet vulnérables au piratage à distance – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Il semble, bien que HP ne l’ait pas encore confirmé, que des chercheurs de l’Université de Columbia aient trouvé une faille de sécurité dans « des dizaines de millions » d’imprimantes HP LaserJet qui permet à un pirate informatique distant d’installer un nouveau firmware dangereux sur l’appareil. Dans un exemple, les chercheurs ont utilisé la vulnérabilité pour pirater le fuser d’une imprimante – l’élément chauffant qui lie le pigment de toner au papier – provoquant le brunissement du papier et la formation de fumée.

Le vecteur d’attaque est d’une simplicité déprimante : chaque fois qu’une imprimante LaserJet vulnérable accepte un travail d’impression, elle analyse ce travail pour voir s’il inclut une mise à jour du micrologiciel. Incroyablement, l’imprimante ne vérifie alors pas le la source de la mise à jour ; HP ne signe pas numériquement ses mises à jour et l’imprimante ne recherche pas la signature de HP. En d’autres termes, vous pouvez désosser l’une des mises à jour du micrologiciel de HP, programmer la vôtre, puis l’insérer dans un travail d’impression. Vous pouvez installer n’importe quel logiciel sur des millions d’imprimantes LaserJet connectées au réseau et à Internet.

Imprimante HP piratéeAu-delà de l’exemple terrifiant du papier brûlé, Columbia a également montré un micrologiciel piraté qui a détecté le moment où une déclaration de revenus était en cours d’impression, puis a extrait le numéro de sécurité sociale et l’a transmis à un fil Twitter. Vraiment, cependant, les possibilités de ce qu’une imprimante piratée pourrait faire sont infinies ; c’est en fait juste un autre ordinateur sur le réseau. Vous pourriez faire un botnet hors des imprimantes piratées, même.

Psssssst :  Heartbleed : Quels mots de passe devez-vous changer maintenant ? - High-teK.ca

Maintenant, au début, cela peut sembler être une vulnérabilité locale – de nombreuses imprimantes sont connectées à Internet via le LAN, mais elles sont cachées derrière NAT et difficiles à atteindre – mais que se passe-t-il si un employé d’une entreprise est harponné avec un fichier PDF ou DOC chargé de micrologiciel piraté ? Le principal problème, cependant, est que HP et ses clients n’ont aucun moyen réel de colmater ce trou. Il n’y a pas de mise à jour globale que HP peut déclencher. Pire encore, les entreprises n’ont aucun moyen de savoir si leurs imprimantes ont été piratées. La seule véritable solution serait de remplacer toutes les imprimantes du bureau. Il convient de noter que d’autres imprimantes, copieurs et tout-en-un (non HP) sont probablement également vulnérables à une attaque similaire.

Hackers, le filmPour être honnête, nous ne devrions pas être surpris qu’un tel trou existe ; déprimé, peut-être, mais pas surpris. Vous ne le savez peut-être pas, mais presque tous les appareils connectés au réseau ou à Internet, de la télématique embarquée d’une voiture à un réfrigérateur autonome, est un ordinateur – comme dans un processeur, une interface réseau, de la mémoire et un système d’exploitation. Dans le cas des imprimantes, il s’agit généralement d’un ordinateur exécutant VxWorks ou une version intégrée de Linux. Ces appareils, comme votre téléphone Android, votre serveur Linux ou votre PC Windows, sont tout aussi vulnérables aux malwarevirus et Injection SQL. Comme vous le savez, les fabricants prennent généralement des raccourcis pour mettre leurs produits sur le marché plus tôt – et s’il y a jamais été un cas connu d’exploitation de l’appareil, comme le cas des imprimantes, vous pouvez voir pourquoi HP pourrait lésiner en matière de mesures de sécurité.

C’est une histoire très similaire à la pompe à insuline piratable ou ouvrir une porte de voiture par SMS. Ce n’est pas dur pour sécuriser ces systèmes, cela ne semble tout simplement pas être une activité valable jusqu’à ce qu’un chercheur en sécurité montre une attaque de preuve de concept – et ensuite tout le monde se déplace très, très rapidement pour colmater le trou avant que le navire métaphorique ne coule. Le problème ici, cependant, est que la plupart des cas de « sécurité par l’obscurité » se produisent dans des appareils rares et hors réseau. Il n’y a peut-être que quelques milliers de pompes à insuline sans fil dans le monde, et elles ne sont pas connectées à Internet. HP a vendu 100 millions d’imprimantes LaserJet depuis 1984, et elles sont tout connecté à Internet ou à un ordinateur.

Psssssst :  CTS Labs répond aux allégations de mauvaise foi concernant les divulgations de sécurité des processeurs AMD et creuse un trou plus profond

Lire la suite sur MSNBC

Mise à jour à 15h44 HE : HP a publié une réponse sur la situation. Fondamentalement, cela suggère que chaque imprimante LaserJet dispose d’un « disjoncteur thermique », qui empêcherait le papier (ou l’imprimante ?) de prendre feu. Le reste de la version confirme essentiellement qu’il existe une faille de sécurité béante et qu’ils travaillent sur un correctif du micrologiciel. En l’absence de service de mise à jour centralisé, cependant, il est prudent de supposer que les imprimantes non corrigées seront là pour les années à venir.

[Image credit: Chris Hills — and that’s an InkJet, not a LaserJet, incidentally]

Bouton retour en haut de la page