HP : des LaserJet en manque de sécurité

Florian Innocente |
HP LaserJetHP a contesté ou minimisé l'ampleur de certains éléments révélés hier à propos de failles de sécurité dans ses imprimantes laser. Le fabricant prévoit cependant un correctif logiciel, car, depuis un Mac ou un PC sur Linux, certaines actions malicieuses peuvent être déclenchées.

À l'origine de l'affaire, il y a plusieurs découvertes réalisées par des chercheurs de l'Université de Columbia. Ils expliquent qu'il est possible de reprogrammer le firmware d'imprimantes HP et potentiellement d'injecter un code malicieux qui à son tour pourrait lancer quelques actions sur les PC présents sur un réseau. Il est ici exploité la possibilité de modifier un firmware depuis le réseau (sur les imprimantes jet d'encre grand public une telle mise à jour à distance n'est pas possible).

Il serait possible aussi de forcer l'unité de fixation de l'imprimante (qui s'occupe de sécher l'encre sur le papier) et la faire chauffer au point d'enflammer le périphérique. HP a répondu en expliquant que toutes ses LaserJet étaient dotées d'un fusible prévenant ce type de scénario et qu'il était impossible de provoquer cette surchauffe par une altération de ses firmwares.

HP a en revanche reconnu qu'une faille existait, permettant à un PC Linux ou un Mac d'envoyer des commandes malicieuses via une tâche d'impression et de provoquer une mise à jour du micrologiciel embarqué.

À ce stade font remarquer les chercheurs, il s'avère que certaines imprimantes du constructeur ne vérifient pas si le nouveau firmware qu'elles reçoivent est légitime. Ce n'est plus le cas avec les modèles vendus depuis 2009 a répondu HP. Mais l'un des périphériques ayant servi à la démonstration a été acheté en septembre dernier et l'on ne compte pas le parc installé d'imprimantes ayant plus de deux ans.

Enfin, tempère HP, pour que ce remplacement du firmware soit possible à distance, il faut que l'imprimante soit reliée à Internet sans la protection d'un firewall, ou que l'ordre d'impression malicieux arrive depuis un poste du réseau interne.

Une démo a mis en scène une imprimante infectée par un faux firmware qui envoyait par fax un document fiscal vers un PC distant, lequel scannait le contenu du fichier et s'il y trouvait un numéro de sécurité sociale, le publiait sur un compte Twitter.

Ce cas avec les imprimantes n'est que la partie émergée de l'iceberg explique un chercheur, quantité d'appareils électroniques présents dans les entreprises ou les foyers, connectés au réseau (et ils le seront de plus en plus) sont dispensés de tout système de sécurité.


Tags
#HP #laserjet
avatar tartampion | 
HP c'est un cache-misère. Belle carrosserie, petit petit moteur. A éviter
avatar macinside | 
@ tartampion c'est quoi le rapport avec la news ? rappel de la consigne 3 : Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
avatar tartampion | 
Zorro est arrivé.... mdr
avatar tartampion | 
Traduction pour Zorro: Grosse faille = mauvaise qualité = mauvais moteur. Voulez-vous une traduction en anglais ?
avatar Sédatif PC | 
Les dernières imprimantes HP pour le grand public étant directement reliées à Internet, existe-t-il des antivirus pour imprimantes?
avatar mathiasr | 
Ah ah ! Bientôt les grille-pains de la cafet seront de vrais chevaux de Troie !
avatar babgond | 
Un Pc Linux ou un Mac .... Bref un machine UNIX ....
avatar 421 | 
Pas de back-door ou de puce copieuses ce coup-ci? La dernière imprimante que j'ai utilisé à titre professionnel à été soigneusement dépouillée avant d'être envoyée au recyclage... Alors une mauvaise ligne de code...
avatar zoubi2 | 
"permettant à un PC Linux ou un Mac d'envoyer des commandes [b]malicieuses[/b]..." Ah non Florian, pas toi quand-même!!! "Malicious" in English = méchant, malveillant, mauvais (cf "le Malin" = "le Diable") En aucun cas "malicieux", qui en Français a perdu le sens original. Pourquoi pas une "commande primesautière" pendant que tu y es?
avatar rom54 | 
Par définition, tous les systèmes modifiables sont susceptibles d'être modifies... avec des intentions parfois malveillantes... Et sachant que les softs de développement actuels sont buggogenes, nul développements est certifiables a 100%... Ceci posé, il est vrai que les logiciels internes deviennent de plus en plus complexes, les machines de plus en plus autonomes et complexes. La conséquence c'est une exposition de plus en plus importante a des failles de sécurités et des risques dans l'environnement de gestion de l'information. Il faudrait effectivement que les matériels utilisent une empreinte pour vérifier que le logiciel est bien officiel -un peut comme le fait maintenant Apple ou tout est "empreinté" de la machine au soft-. Il faudrait aussi que les procédures de modifications fassent partie d'une chaine certifiée et reportée explicitement. Et il faudrait que soit l'utilisateur soit mieux formé, soit que ces modifs ne soient possible que par un administrateur certifié. Mais cela a un cout, que la tendance actuelle tend a supprimer... Il y a beaucoup de possibilités de sécurisations, mais il faut faire un choix a un moment donné entre complication de l'utilisation et sécurité. Il faut bien prendre en compte que des certifications de sécurité de niveau militaire ne sont pas nécessaires dans la majorité des cas et que la durée de vie d'un matériel joue sur son niveau de sécurisation. C'est d'autant plus vrai que la faiblesse de sécurisation est un élément de poids dans l'obsolescence programmée... Voler des informations dans une imprimante réseau est relativement facile, deja en récupérant le disque. Il est aussi très facile d'intercepter les informations a destination de cette imprimante. Il est encore plus simple d'infecter le PC avec un keylogger, un trojan ou un virus. Et il est encore plus simple d'obtenir les infos de la part de l'opérateur... Le gros avantage - ou le risque - de cette faille, ça peut être, si c'est possible d'empêcher que le watermark spécifique a chaque imprimante soit imprime sur les feuilles... Au début de l'ère informatique, avant que le code devienne propriétaire, les machines étaient livrées avec le code source de leurs softs en plus de l'exécutable... (oui l'opensource existait avant la fermeture commerciale du software) En attendant le danger actuel, c'est tout de meme les keylogger installés dans les smartphones Android, Nokia, BB,... Par les opérateurs. Ou les rootkits installés par les constructeurs comme le cas Sony.

CONNEXION UTILISATEUR