Cyberattaques : méfiez-vous des imprimantes

François Manens

Publié le 30 novembre 2021 à 09:30

Ce contenu est réservé aux abonnés La Tribune

Les imprimantes aussi peuvent être piratées.

F-Secure

Ajouter La Tribune à vos sources préférées

Des chercheurs de l'entreprise F-Secure ont découvert deux failles informatiques présentes sur des milliers d'imprimantes HP, qui permettent d'espionner tous les documents envoyés à ces machines. Heureusement, ces vulnérabilités sont relativement difficiles à exploiter, et le constructeur les a déjà réparé grâce aux informations fournies par les experts. Mais cet épisode est une bonne piqûre de rappel : même des machines moins intelligentes que les ordinateurs peuvent servir de porte d'entrée aux cybercriminels.

Et si une simple imprimante menait votre entreprise à une situation de cybercrise ? "On oublie parfois que les imprimantes sont elles-mêmes des sortes d'ordinateurs. Elles ont une identité sur le réseau informatique de l'entreprise, et elles peuvent servir de vecteur de compromission initiale comme n'importe quel ordinateur", fait remarquer à La Tribune Benoit Meulin, expert chez F-Secure.

Le fournisseur de logiciels de cybersécurité publie ce mardi 30 novembre la découverte de deux failles informatiques situées sur une famille de 150 modèles d'imprimantes multifonctions (dites "MFP") de la marque HP, numéro 1 du marché avec 25% des parts.

Autrement dit, des milliers de machines sont concernées. Une fois exploitée, chacune de ces vulnérabilités permet d'accéder à la mémoire des imprimantes, et d'ainsi espionner non seulement les documents envoyés à la machine (pour impression, numérisation ou fax) mais aussi les mots de passe et les identifiants qui lient l'imprimante au réseau.

Un espionnage difficile à mettre en place

Dans le pire des scénarios, l'exploitation de ces vulnérabilités pourrait permettre à des attaquants de contaminer toutes les imprimantes d'une entreprise avec un virus. Les cybercriminels disposeraient ainsi d'yeux disséminés partout dans l'organisation de leur victime, ce qui leur permettrait de lancer une collecte d'information de grande échelle. Et si un employé avait le malheur de lancer à l'impression des informations confidentielles - comme des identifiants - par exemple, l'attaque pourrait alors prendre une toute autre ampleur avec le déploiement d'autres logiciels malveillants.