Un de nos lecteurs, que nous remercions, nous a récemment signalé l’existence d’un problème potentiellement très important avec les imprimantes laser du constructeur HP. Pour nombre de “LaserJet”, n’importe qui pourrait lancer des impressions à distance. Il suffirait pour cela de se connecter en invité sur le panneau de contrôle de l’imprimante reliée au web.
Trouver des imprimantes configurées de la sorte est une tâche facile. Quelques requêtes bien formulées dans Google (qui référence toutes les imprimantes) et le tour est joué. Nous avons pu ainsi trouver plusieurs milliers de CP4025 accessibles depuis le web.
Évidemment, les spammers ont sauté sur l’occasion pour diffuser des publicités sur les imprimantes concernées. Nous pouvons aussi imaginer l’application de techniques de “social engineering” pour obtenir des informations critiques de la part de l’entreprise.
HP ne semble pour le moment pas très prompt à corriger ce problème. En tout état de cause, nous nous demandons pourquoi la configuration de tant d’imprimantes les rend visibles sur la Toile et pourquoi le compte invité permet d’accéder aux fonctions d’impression. Problème de configuration par défaut ou erreur lors de l’installation ?
Ce n’est d’ailleurs pas tout : l’utilisateur connecté en invité peut voir l’état de l’imprimante et des consommables, le nombre d’impressions effectuées, le nom des dernières tâches réalisées, etc. La faille va donc bien plus loin qu’un simple accès aux fonctions d’impression. Il est ainsi possible de mettre l’imprimante en pause… à distance.
Pire encore, il est permis d’envoyer des documents d’impression à l’imprimante (PRN, PS, PDF), mais aussi des fichiers de mise à jour du micrologiciel de la machine. Il est ainsi possible de la véroler (via un firmware « bricolé »), voire de la planter durablement (via un firmware volontairement défectueux). Incroyable !
Évidemment la disponibilité de ces fonctions dépend de la LaserJet utilisée. Nous nous sommes basés sur une CP4025 pour nos essais. Nous nous excusons auprès de l’Université de Carnegie Mellon, qui sera surprise de voir demain un document inattendu dans le bac à papier d’une de ses imprimantes. Et nous la remercions de nous le faire parvenir à la rédaction de Silicon.fr, 23 rue d’Aumale, 75009 Paris, France (sic).
Voir aussi
Quiz Silicon.fr – HP : du garage à la multinationale
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
