Et si une simple imprimante menait votre entreprise à une situation de cybercrise ? "On oublie parfois que les imprimantes sont elles-mêmes des sortes d'ordinateurs. Elles ont une identité sur le réseau informatique de l'entreprise, et elles peuvent servir de vecteur de compromission initiale comme n'importe quel ordinateur", fait remarquer à La Tribune Benoit Meulin, expert chez F-Secure.
Le fournisseur de logiciels de cybersécurité publie ce mardi 30 novembre la découverte de deux failles informatiques situées sur une famille de 150 modèles d'imprimantes multifonctions (dites "MFP") de la marque HP, numéro 1 du marché avec 25% des parts.
Autrement dit, des milliers de machines sont concernées. Une fois exploitée, chacune de ces vulnérabilités permet d'accéder à la mémoire des imprimantes, et d'ainsi espionner non seulement les documents envoyés à la machine (pour impression, numérisation ou fax) mais aussi les mots de passe et les identifiants qui lient l'imprimante au réseau.
Un espionnage difficile à mettre en place
Dans le pire des scénarios, l'exploitation de ces vulnérabilités pourrait permettre à des attaquants de contaminer toutes les imprimantes d'une entreprise avec un virus. Les cybercriminels disposeraient ainsi d'yeux disséminés partout dans l'organisation de leur victime, ce qui leur permettrait de lancer une collecte d'information de grande échelle. Et si un employé avait le malheur de lancer à l'impression des informations confidentielles - comme des identifiants - par exemple, l'attaque pourrait alors prendre une toute autre ampleur avec le déploiement d'autres logiciels malveillants.
Suivant les standards de l'industrie, F-Secure publie ses découvertes à la suite du déploiement d'une mise à jour par HP (auquel le fournisseur de cybersécurité a contribué) destinée à réparer (entre autres) les deux vulnérabilités. Autrement dit, les failles ne resteront exploitables que sur les appareils qui ne sont pas mis à jour. Les chercheurs de F-Secure tempèrent eux-mêmes la dangerosité des vulnérabilités.
"L'exploitation des vulnérabilités est en pratique difficile et n'est donc pas à la portée de tous les hackers. Toutefois, les plus chevronnés d'entre eux pourraient choisir de recourir à ces attaques dans le cadre d'opérations ciblées", indique l'entreprise.
Deux failles, une même finalité
Dans le détail, les deux vulnérabilités sont de nature différente et impliquent deux scénarii d'attaque distincts. La première (traquée sous l'identifiant CVE-2021-39237) est d'ordre matériel, et se trouve au niveau d'un des ports d'accès situés au dos de la machine. Pour l'exploiter, l'attaquant doit s'y brancher, et donc y avoir un accès physique. "C'est le genre d'attaque vers laquelle se tournent ceux qui font de l'attaque ciblée si leurs tentatives de phishing [envois d'emails malveillants, ndlr] ratent", constate Benoit Meulin.
L'attaquant devra s'infiltrer dans les locaux de l'entreprise, par exemple en se faisant passer pour un agent de maintenance. Habituellement, ce genre de scénario sert à brancher une clé USB infectée à un ordinateur de l'entreprise pour le contaminer. "L'avantage ici, c'est qu'il est plus facile d'accéder discrètement à une imprimante que de rester plusieurs minutes sans se faire remarquer devant un PC qui n'est pas le sien", relève l'expert de F-Secure.
La seconde faille (CVE-2021-39238) est quant à elle d'ordre logiciel et se situe au niveau de "l'analyseur de polices", un programme chargé de lire le document envoyé à l'impression pour déterminer dans quelle police de caractère il faudra l'imprimer. Pour l'exploiter, les chercheurs envoient à l'impression un document qui contient une police de caractère malveillante capable d'abuser de la vulnérabilité.
D'éventuels attaquants devront donc piéger un employé de l'entreprise ciblée à visiter un faux site qui déclenchera automatiquement l'impression malveillante, par exemple par le biais d'un faux email. "Si l'email et le site sont bien faits, et en fonction des conditions de sécurité de l'entreprise, l'attaque se fait entre 1 et 3 clics de la victime depuis sa boîte email", évalue Benoît Meulin. Les chercheurs ont remarqué qu'une fois l'accès obtenu à une imprimante, ils peuvent créer un logiciel malveillant capable de se répandre automatiquement aux autres imprimantes du réseau par le biais de cette faille.
Ne pas oublier les imprimantes
Peut-être que les vulnérabilités découvertes par F-Secure ne seront jamais exploitées : après tout, elles sont d'ores et déjà corrigées, et elles impliquent des scénarios d'attaque complexes, à l'heure où les cybercriminels continuent à aller au plus simple.
Mais cette recherche est un bon rappel pour les entreprises de faire attention à l'ensemble de leurs appareils, et pas seulement aux ordinateurs. Une notion relativement bien assimilée par les grands groupes, mais encore ignorée par de plus petites entreprises. "Les imprimantes sont la deuxième population d'appareils la plus nombreuse dans les entreprises après les ordinateurs. Ce serait dommage d'oublier les périphériques qui participent à la productivité d'une entreprise dans les plans de sécurité", conclut Benoit Meulin.
Sujets les + commentés