HP a contesté ou minimisé l'ampleur de certains éléments révélés hier à propos de failles de sécurité dans ses imprimantes laser. Le fabricant prévoit cependant un correctif logiciel, car, depuis un Mac ou un PC sur Linux, certaines actions malicieuses peuvent être déclenchées.

À l'origine de l'affaire, il y a plusieurs découvertes réalisées par des chercheurs de l'Université de Columbia. Ils expliquent qu'il est possible de reprogrammer le firmware d'imprimantes HP et potentiellement d'injecter un code malicieux qui à son tour pourrait lancer quelques actions sur les PC présents sur un réseau. Il est ici exploité la possibilité de modifier un firmware depuis le réseau (sur les imprimantes jet d'encre grand public une telle mise à jour à distance n'est pas possible).

Il serait possible aussi de forcer l'unité de fixation de l'imprimante (qui s'occupe de sécher l'encre sur le papier) et la faire chauffer au point d'enflammer le périphérique. HP a répondu en expliquant que toutes ses LaserJet étaient dotées d'un fusible prévenant ce type de scénario et qu'il était impossible de provoquer cette surchauffe par une altération de ses firmwares.

HP a en revanche reconnu qu'une faille existait, permettant à un PC Linux ou un Mac d'envoyer des commandes malicieuses via une tâche d'impression et de provoquer une mise à jour du micrologiciel embarqué.

À ce stade font remarquer les chercheurs, il s'avère que certaines imprimantes du constructeur ne vérifient pas si le nouveau firmware qu'elles reçoivent est légitime. Ce n'est plus le cas avec les modèles vendus depuis 2009 a répondu HP. Mais l'un des périphériques ayant servi à la démonstration a été acheté en septembre dernier et l'on ne compte pas le parc installé d'imprimantes ayant plus de deux ans.

Enfin, tempère HP, pour que ce remplacement du firmware soit possible à distance, il faut que l'imprimante soit reliée à Internet sans la protection d'un firewall, ou que l'ordre d'impression malicieux arrive depuis un poste du réseau interne.

Une démo a mis en scène une imprimante infectée par un faux firmware qui envoyait par fax un document fiscal vers un PC distant, lequel scannait le contenu du fichier et s'il y trouvait un numéro de sécurité sociale, le publiait sur un compte Twitter.

Ce cas avec les imprimantes n'est que la partie émergée de l'iceberg explique un chercheur, quantité d'appareils électroniques présents dans les entreprises ou les foyers, connectés au réseau (et ils le seront de plus en plus) sont dispensés de tout système de sécurité.