vendredi 23 décembre 2011

De l'usage d'une imprimante laser comme...cyberarme ?!

Si le titre de cet article est volontairement provocateur et utilise sans vergogne le sensationnalisme apparent de certains, le cas récent de l'affaire des imprimantes HP Laserjet n'est peut-être pas si caricatural et soulève de bonnes questions.

On ne le répètera peut-être jamais assez mais la sécurité commence déjà par de l'information : savoir qu'il existe des enjeux voire surtout des risques, même avec une imprimante, est la base d'une protection sérieuse si ce n'est bonne. De ce point de vue, les gens de HP semblent traiter la problématique avec sérieux, depuis plusieurs années.

Du Scud au calendrier Maya !
Le Scud journalistique tiré le 29 novembre 2011 sur le site "Redtape chronicles" a probablement pris par surprise la direction de HP. Comme le reste du monde, ils y apprennent qu'une équipe de chercheurs en sécurité de l'Université de Columbia aurait découvert une vulnérabilité pouvant compromettre des millions d'imprimantes par des piratages dévastateurs ! A se demander si le calendrier Maya ne se serait pas trompé de 387 jours ! 

Plus sérieusement, le problème soulevé est le suivant : la majorité des imprimantes  collectives en entreprise sont reliées au réseau informatique et, si le droit leur est donné ou laissé (attention aux paramètres par défaut !), peuvent se connecter via Internet pour effectuer les mises à jour de leur firmware. Les chercheurs ont donc forcé la mise à jour à distance du firmware sachant qu'aucun certificat n'est demandé pour l'authentification (le cas semble uniquement valable pour les Laserjet antérieures à 2009). Une fois introduits, ils disent avoir pu modifier certaines instructions afin d'augmenter continuellement la température du four. D'après eux et même s'ils ne sont pas allés jusqu'au bout, leur attaque peut conduire à la surchauffe de l'imprimante qui finirait par s'enflammer !

HP a été réactif en publiant un démenti le jour même, expliquant que le four dispose d'une sécurité ("thermal breaker") qui empêche, justement, un début d'incendie. Il reconnaît cependant qu'une vulnérabilité existe bien mais qu'elle ne peut être exploitée qu'en cas d'absence d'un firewall entre l'imprimante et Internet (encore faut-il que le firewall soit bien configuré, autre problème) ou que sur un réseau privé, un acte malveillant soit mis en œuvre pour tenter de modifier le firmware. Enfin, les modèles post 2009 utilisent un certificat afin de garantir l'authenticité du site d'où est effectuée la mise à jour.

Que retenir de cette affaire ?
1) En premier lieu, l'équipe du professeur Stolfo a bien découvert une faille logicielle exploitable, donnant corps à l'idée que, depuis des années, les imprimantes sont à considérer comme des équipements à risque et doivent être protégés comme tels. L'imprimante comme avant-poste d'une attaque (avec un sniffer réseau, pas exemple) ou encore pour transférer "à l'extérieur" l'ensemble des impressions est une menace discrète mais néanmoins efficace. Dans les deux cas, c'est le jackpot assuré pour l'attaquant !
2) HP n'a pas attendu cette découverte pour se pencher sur la question et la traiter du mieux possible. Quels que soient les efforts déployés, des vulnérabilités exploitables seront  toujours découvertes. Simple question de temps, de compétences et de moyens.
3) Même si aucune imprimante ne semble avoir été détruite par "combustion spontanée", une plainte en class-action a immédiatement (!) été enregistrée en Californie, celle-ci se basant sur le fait qu'un rapport publié en 2010 mettait en garde contre les risques de modification d'un firmware à des fins malveillantes. Et donc que HP n'avait pas fait le nécessaire pour informer ses clients.

Il va sans dire que cette partie juridique de l'affaire sera à suivre attentivement, même s'il semble difficile pour les plaignants de remporter ce match facilement. Sauf évidemment, si l'on se place uniquement dans l'objectif de toucher quelques dizaines de milliers de dollars afin d'éteindre la procédure. A choisir, je penche pour cette solution, les enjeux financiers et industriels pour HP et consorts étant bien trop importants !

Aucun commentaire: