Cyberattaques : méfiez-vous des imprimantes

Des chercheurs de l'entreprise F-Secure ont découvert deux failles informatiques présentes sur des milliers d'imprimantes HP, qui permettent d'espionner tous les documents envoyés à ces machines. Heureusement, ces vulnérabilités sont relativement difficiles à exploiter, et le constructeur les a déjà réparé grâce aux informations fournies par les experts. Mais cet épisode est une bonne piqûre de rappel : même des machines moins intelligentes que les ordinateurs peuvent servir de porte d'entrée aux cybercriminels.
François Manens
Les imprimantes aussi peuvent être piratées.
Les imprimantes aussi peuvent être piratées. (Crédits : F-Secure)

Et si une simple imprimante menait votre entreprise à une situation de cybercrise ? "On oublie parfois que les imprimantes sont elles-mêmes des sortes d'ordinateurs. Elles ont une identité sur le réseau informatique de l'entreprise, et elles peuvent servir de vecteur de compromission initiale comme n'importe quel ordinateur", fait remarquer à La Tribune Benoit Meulin, expert chez F-Secure.

Le fournisseur de logiciels de cybersécurité publie ce mardi 30 novembre la découverte de deux failles informatiques situées sur une famille de 150 modèles d'imprimantes multifonctions (dites "MFP") de la marque HP, numéro 1 du marché avec 25% des parts.

Autrement dit, des milliers de machines sont concernées. Une fois exploitée, chacune de ces vulnérabilités permet d'accéder à la mémoire des imprimantes, et d'ainsi espionner non seulement les documents envoyés à la machine (pour impression, numérisation ou fax) mais aussi les mots de passe et les identifiants qui lient l'imprimante au réseau.

Un espionnage difficile à mettre en place

Dans le pire des scénarios, l'exploitation de ces vulnérabilités pourrait permettre à des attaquants de contaminer toutes les imprimantes d'une entreprise avec un virus. Les cybercriminels disposeraient ainsi d'yeux disséminés partout dans l'organisation de leur victime, ce qui leur permettrait de lancer une collecte d'information de grande échelle. Et si un employé avait le malheur de lancer à l'impression des informations confidentielles - comme des identifiants - par exemple, l'attaque pourrait alors prendre une toute autre ampleur avec le déploiement d'autres logiciels malveillants.

Suivant les standards de l'industrie, F-Secure publie ses découvertes à la suite du déploiement d'une mise à jour par HP (auquel le fournisseur de cybersécurité a contribué) destinée à réparer (entre autres) les deux vulnérabilités. Autrement dit, les failles ne resteront exploitables que sur les appareils qui ne sont pas mis à jour. Les chercheurs de F-Secure tempèrent eux-mêmes la dangerosité des vulnérabilités.

"L'exploitation des vulnérabilités est en pratique difficile et n'est donc pas à la portée de tous les hackers. Toutefois, les plus chevronnés d'entre eux pourraient choisir de recourir à ces attaques dans le cadre d'opérations ciblées", indique l'entreprise.

Deux failles, une même finalité

Dans le détail, les deux vulnérabilités sont de nature différente et impliquent deux scénarii d'attaque distincts. La première (traquée sous l'identifiant CVE-2021-39237) est d'ordre matériel, et se trouve au niveau d'un des ports d'accès situés au dos de la machine. Pour l'exploiter, l'attaquant doit s'y brancher, et donc y avoir un accès physique. "C'est le genre d'attaque vers laquelle se tournent ceux qui font de l'attaque ciblée si leurs tentatives de phishing [envois d'emails malveillants, ndlr] ratent", constate Benoit Meulin.

L'attaquant devra s'infiltrer dans les locaux de l'entreprise, par exemple en se faisant passer pour un agent de maintenance. Habituellement, ce genre de scénario sert à brancher une clé USB infectée à un ordinateur de l'entreprise pour le contaminer. "L'avantage ici, c'est qu'il est plus facile d'accéder discrètement à une imprimante que de rester plusieurs minutes sans se faire remarquer devant un PC qui n'est pas le sien", relève l'expert de F-Secure.

La seconde faille (CVE-2021-39238) est quant à elle d'ordre logiciel et se situe au niveau de "l'analyseur de polices", un programme chargé de lire le document envoyé à l'impression pour déterminer dans quelle police de caractère il faudra l'imprimer. Pour l'exploiter, les chercheurs envoient à l'impression un document qui contient une police de caractère malveillante capable d'abuser de la vulnérabilité.

D'éventuels attaquants devront donc piéger un employé de l'entreprise ciblée à visiter un faux site qui déclenchera automatiquement l'impression malveillante, par exemple par le biais d'un faux email. "Si l'email et le site sont bien faits, et en fonction des conditions de sécurité de l'entreprise, l'attaque se fait entre 1 et 3 clics de la victime depuis sa boîte email", évalue Benoît Meulin. Les chercheurs ont remarqué qu'une fois l'accès obtenu à une imprimante, ils peuvent créer un logiciel malveillant capable de se répandre automatiquement aux autres imprimantes du réseau par le biais de cette faille.

Ne pas oublier les imprimantes

Peut-être que les vulnérabilités découvertes par F-Secure ne seront jamais exploitées : après tout, elles sont d'ores et déjà corrigées, et elles impliquent des scénarios d'attaque complexes, à l'heure où les cybercriminels continuent à aller au plus simple.

Mais cette recherche est un bon rappel pour les entreprises de faire attention à l'ensemble de leurs appareils, et pas seulement aux ordinateurs. Une notion relativement bien assimilée par les grands groupes, mais encore ignorée par de plus petites entreprises. "Les imprimantes sont la deuxième population d'appareils la plus nombreuse dans les entreprises après les ordinateurs. Ce serait dommage d'oublier les périphériques qui participent à la productivité d'une entreprise dans les plans de sécurité", conclut Benoit Meulin.

François Manens

Sujets les + lus

|

Sujets les + commentés

Commentaires 5
à écrit le 01/12/2021 à 14:51
Signaler
Les objets connectés et les IPV4. Encore plus de machines avec IPV6 : l'Arcep dénonce un manque d'avance avec les IPV6 mais l'informatique doit elle inonder le monde ? encore plus d'IA et de machines électroniques en pleine crise des composants élect...

à écrit le 30/11/2021 à 12:01
Signaler
Tout les objets connectés avec adresse IP connectable à internet www peuvent être piraté, donc même les imprimantes et les photocopieurs. Ce monde devient de plus en plus dangereux et inconstant. il faut des antivirus et antimalwares pour photocopieu...

le 01/12/2021 à 1:49
Signaler
L'ignorance des francais en informatique est formidable. Tout ce qui est connecte sur un reseau est suceptible d'etre infecte. L'eau chaude, en gros.

à écrit le 30/11/2021 à 11:15
Signaler
Quand c'est trop compliqué à paramétrer, les objets connectés peuvent devenir des "passoires" (une clé Wap ou autre par objet, c'est pas "plug & play", ça fait trop "informatique" pour des objets mais est un minimum pour être (relativement :-) ) tran...

à écrit le 30/11/2021 à 10:39
Signaler
Et je ne vous dis pas quand tous les objets seront connectés et eux aussi aux processeurs toujours plus performants... pire nous perdrons moins à nous faire directement voler par les hackers plutôt que par les multinationales qui elles ne diront rien...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.