Deux chercheurs de l’université américaine de Columbia ont découvert une vulnérabilité qui touche les imprimantes connectées à Internet. Un pirate pourrait assez facilement en prendre le contrôle pour dérober des données ou infiltrer un réseau informatique.
au sommaire
Le professeur Salvatore Stolfo, de l’université de Columbia à New York, a conduit la recherche sur la faille de sécurité des imprimantes HP. © Eileen Barroso/Columbia University
La nouvelle est spectaculaire. Des dizaines de millions d'imprimantes pourraient se transformer en redoutables outils de piratage entre les mains de hackers malintentionnés. Deux chercheurs du Département informatique de l'université de ColumbiaColumbia (New York City) ont révélé l'existence d'une importante faille de sécurité qui affecte les modèles d'imprimantes connectées à Internet et qui utilisent un système de mise à jour automatique de leur logiciel interne ou firmware. Dans l'article paru sur MSNBC, le professeur Salvatore Stolfo qui a dirigé cette étude explique que la vulnérabilité a été découverte sur une imprimante de la marque HPHP, gamme Laserjet.
Interrogé par Futura-Sciences, il a précisé qu'il s'agissait du modèle 2055DN. À chaque fois qu'un travail d'impression est envoyé à l'imprimante, celle-ci va vérifier s'il contient une mise à jour de son firmware. Mais elle n'utilise pas de certificat numérique pour vérifier l'authenticité du firmware qu'elle reçoit. Il serait donc aisé pour un pirate informatique d'injecter un logiciel malveillantlogiciel malveillant type cheval de Troiecheval de Troie dissimulé dans une fausse mise à jour. Il pourrait ainsi prendre le contrôle de l'imprimante et récupérer une copie des documents à chaque impression.
Le chercheur à l'origine de cette découverte a utilisé le modèle HP 2250D pour révéler l'existence d'une faille de sécurité. © HP
HP mis en cause
Dans l'une des démonstrations faites devant le journaliste de MSNBC, les chercheurs ont lancé l'impression d'un feuille d'imposition sur une imprimante infectée qui a automatiquement transmis le document à un second ordinateur jouant le rôle de la machine pirate. Le document volé a été ensuite scanné à la recherche d'une donnée sensible, dans le cas présent un numéro de sécurité sociale, qui a été ensuite diffusée sur TwitterTwitter. Encore pire, le pirate pourrait utiliser cette porte dérobéeporte dérobée et non protégée par les logiciels de sécurité pour infiltrer un réseau informatiqueréseau informatique sans se faire repérer. La faille concernerait aussi bien des imprimantes à usage domestique que celles utilisées par des entreprises ou des administrations. Soit potentiellement des dizaines de millions de machines, disent les chercheurs.
Réagissant à ces révélations, HP a publié un communiqué dans lequel il reconnaît l'existence de cette faille de sécurité et promet qu'un correctif est en cours de développement. Le risque existe pour ce modèle d'imprimante s'il est utilisé sur un point d'accès Internet public qui n'est pas sécurisé par un pare-feupare-feu. « Dans certains environnements LinuxLinux ou MacMac, il se peut qu'une tâche d'impression corrompue spécialement formatée puisse déclencher une mise à jour du firmware », admet HP.
Mais le constructeur conteste l'ampleur de la menace et souligne qu'aucun de ses clients n'a fait état d'une intrusion de cette nature. Un porte-parole d'HP a également précisé à MSNBC que toutes les imprimantes commercialisées depuis 2009 utilisent un certificat numérique. L'article rappelle cependant qu'HP est le N°1 mondial des ventes d'imprimantes avec un volumevolume annuel de 50 millions de machines...
INTERVIEW : les explications du chercheur
Interrogé par Futura-Sciences à propos des commentaires d'HP, le professeur Salvatore Stolfo nous a donné les réponses suivantes.
Futura-Sciences : Pourquoi avoir choisi la marque HP en particulier ? Y-a-t-il des modèles de marques différentes qui sont concernés ?
Salvatore Stolfo : Nous avons choisi HP car nous avions un de leurs modèles dans notre laboratoire. Nous n'avons pas encore étudié d'autres marques. Nous ne savons pas si quiconque d'autre est touché par cette faille, mais cela ne peut être déterminé sans une étude. Les autres fabricants savent probablement s'ils ont cette vulnérabilité et j'espère qu'ils travaillent à la corriger.
Futura-Sciences : HP semble relativiser l'ampleur de la menace. Quelle est votre opinion ?
Salvatore Stolfo : Nous avons testé 3 de leurs modèles qui sont populaires et largement déployés. Nous n'avons pas testé tous leurs modèles. Mais il serait logique que certains de ces autres modèles aient la même faille de sécurité. Les données publiques indiquent qu'HP a vendu 12 millions d'imprimantes au cours du dernier trimestre, on peut donc assez facilement estimer qu'il y a des millions d'imprimantes vulnérables dans la nature. Il est difficile de contester cela, bien que l'on puisse s'attendre à ce que l'ampleur du problème soit relativisée.
INTERVIEW : l'avis d'un expert, Ondrej Vleck
Futura-Sciences est allé interroger Ondrej Vlcek, le directeur technique de l'éditeur de la suite de sécurité Avast. Voici ses explications sur cette expérience.
Futura-Sciences : Confirmez-vous les conclusions de l'étude selon lesquelles un pirate pourrait aussi facilement prendre le contrôle d'une imprimante et infiltrer un réseau ?
Ondrej Vlcek : Cela dépend vraiment si l'imprimante vulnérable est accessible depuis l'extérieur (du réseau, NDLRNDLR). Si l'on suppose que l'imprimante n'est accessible que depuis l'intérieur du réseau (ce qui est le cas de la vaste majorité), les possibilités de l'attaquant sont limitées. On peut imaginer qu'un logiciel malveillant tente de scanner le réseau à la recherche d'imprimantes vulnérables à infecter... Cela n'est pas si facile, mais c'est faisable.
Futura-Sciences : Des millions d'imprimantes seraient potentiellement menacées. Êtes-vous d'accord avec cette affirmation ?
Ondrej Vlcek : S'il est vrai que toutes les imprimantes HP LaserJet fabriquées avant 2009 n'utilisaient pas de certificat numérique, alors oui, cela peut vouloir dire des millions de modèles plus anciens encore en service. Cependant, nous n'avons pas pu vérifier cette affirmation.
Futura-Sciences : Pensez-vous que d'autres marques qu'HP soient concernées par ce problème ?
Ondrej Vlcek : Potentiellement. On pourrait dire qu'il y a un risque similaire potentiel avec d'autres fabricants d'imprimantes.
Futura-Sciences : Quelles recommandations feriez-vous aux utilisateurs pour se protéger ?
Ondrej Vlcek : S'assurer que les imprimantes ne sont pas accessibles depuis l'extérieur du réseau. Les mettre à jour avec la dernière version du firmware et utiliser un antivirusantivirus à jour lui aussi.