Des chercheurs de l’Université de Columbia prétendent avoir identifié une faille de sécurité très inquiétante dans les imprimantes HP LaserJet. Elle permettrait de prendre le contrôle de ces machines, de s’emparer de documents confidentiels et même de potentiellement créer un incendie (HP nie cette dernière information).
A l’origine de la faille : ces appareils connectés peuvent mettre à jour leur firmware via le réseau. A chaque réception d’un document à imprimer, elles vérifient si un logiciel y est attaché et dans ce cas, procède à son installation. Problème : aucune signature n’est nécessaire pour changer le logiciel contrôlant l’imprimante.
Un pirate envoyant un fichier spécialement conçu à l’imprimante, à travers un ordinateur compromis du réseau ou directement depuis Internet, peut donc prendre le contrôle de l’appareil « très facilement ». Selon les chercheurs cités par MSNBC, le hacker peut faire chauffer certains éléments de l’imprimante jusqu’à déclencher un incendie.
Un cas extrême qui serait limité par la présence sur la plupart des modèles d’interrupteurs automatiques s’activant en cas de surchauffe. Dans un communiqué, HP assure que tous ses modèles disposent de ces dispositifs de sécurité et qu’ils ne sont pas contrôlables par le firmware. Une expérience tentée par les chercheurs a cependant conduit à chauffer une imprimante jusqu’à ce qu’elle fume, avant, certes, de s’éteindre.
Mais un autre danger existe, peut-être plus problématique pour les entreprises : une fois sous contrôle d’un pirate, l’imprimante peut lui envoyer une copie électronique de tous les documents qu’elle imprime. Potentiellement, elle peut se transformer en plate-forme d’attaque pour compromettre les autres périphériques du réseau.
La gamme LaserJet s’est vendue dans les dizaines de millions d’exemplaires assurent les chercheurs. Une rapide recherche sur Internet leur a même permis d’identifier plus de 40 000 imprimantes connectées au réseau des réseaux, pouvant être infectées directement. Pour le moment, il n’y a aucun correctif simple à mettre en place, et d’autres modèles d’imprimantes, quel que soit leur constructeur, pourraient avoir la même faiblesse, assurent les universitaires.
Photo © Clément Bohic – Net Média Europe
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…