Une faille de sécurité pour les imprimantes laser HP ?

La Rédaction,

Des milliers d’imprimantes HP LaserJet sont accessibles depuis la Toile : consultation de l’état du périphérique, lancement d’impressions et mise à jour du firmware sont accessibles sans identification.

Un de nos lecteurs, que nous remercions, nous a récemment signalé l’existence d’un problème potentiellement très important avec les imprimantes laser du constructeur HP. Pour nombre de “LaserJet”, n’importe qui pourrait lancer des impressions à distance. Il suffirait pour cela de se connecter en invité sur le panneau de contrôle de l’imprimante reliée au web.

Trouver des imprimantes configurées de la sorte est une tâche facile. Quelques requêtes bien formulées dans Google (qui référence toutes les imprimantes) et le tour est joué. Nous avons pu ainsi trouver plusieurs milliers de CP4025 accessibles depuis le web.

Évidemment, les spammers ont sauté sur l’occasion pour diffuser des publicités sur les imprimantes concernées. Nous pouvons aussi imaginer l’application de techniques de “social engineering” pour obtenir des informations critiques de la part de l’entreprise.

Faille ou erreur de configuration ?

HP ne semble pour le moment pas très prompt à corriger ce problème. En tout état de cause, nous nous demandons pourquoi la configuration de tant d’imprimantes les rend visibles sur la Toile et pourquoi le compte invité permet d’accéder aux fonctions d’impression. Problème de configuration par défaut ou erreur lors de l’installation ?

Ce n’est d’ailleurs pas tout : l’utilisateur connecté en invité peut voir l’état de l’imprimante et des consommables, le nombre d’impressions effectuées, le nom des dernières tâches réalisées, etc. La faille va donc bien plus loin qu’un simple accès aux fonctions d’impression. Il est ainsi possible de mettre l’imprimante en pause… à distance.

Pire encore, il est permis d’envoyer des documents d’impression à l’imprimante (PRN, PS, PDF), mais aussi des fichiers de mise à jour du micrologiciel de la machine. Il est ainsi possible de la véroler (via un firmware « bricolé »), voire de la planter durablement (via un firmware volontairement défectueux). Incroyable !

Évidemment la disponibilité de ces fonctions dépend de la LaserJet utilisée. Nous nous sommes basés sur une CP4025 pour nos essais. Nous nous excusons auprès de l’Université de Carnegie Mellon, qui sera surprise de voir demain un document inattendu dans le bac à papier d’une de ses imprimantes. Et nous la remercions de nous le faire parvenir à la rédaction de Silicon.fr, 23 rue d’Aumale, 75009 Paris, France (sic).

Une faille de sécurité béante pour les imprimantes laser HP
Capture d’écran de l’interface de contrôle d’une imprimante HP CP4025 de l’Université de Carnegie Mellon accessible depuis le web.

Voir aussi
Quiz Silicon.fr – HP : du garage à la multinationale