HP Inc. veut aider à sécuriser les systèmes d’impression

HP Inc. vient d’annoncer toute une série de services visant à aider les entreprises à sécuriser leurs systèmes d’impression. L’un d’eux consiste à mettre à disposition des techniciens pour accompagner dans la mise en œuvre des plans de sécurisation internes – jusqu’à l’intégration des journaux d’activité au sein d’un système de gestion des informations et des événements de sécurité (SIEM). Mais l’offre comporte également un service de conseil de type retainer, l’administration à distance des réglages de sécurité des systèmes d’impression – plus de 250 –, ou encore la formation. Dans un communiqué, HP Inc. met également en avant les dispositifs accompagnant ses propres systèmes, entre contrôle des accès et du transit des documents.

De son côté, l’offre de service recouvre l’ensemble de l’environnement d’impression : accès physiques et logiques via le réseau ou en mode Cloud, supports de stockage interne, ou encore BIOS et firmware.

L’offre de HP Inc. semble tomber bien à propos. En avril 2015, le chercheur David Sopas avait détaillé la façon dont il était parvenu à accéder à certaines fonctions des imprimantes OfficeJet Pro – fonctionnant sous VxWorks – sans avoir besoin de s’authentifier. Plus tôt, en 2011, des chercheurs de l’université de Columbia, aux Etats-Unis, avaient découvert une vulnérabilité permettant de prendre le contrôle complet, à distance, d’imprimantes HP LaserJet. En 2012, le Cert-US avait alerté sur des vulnérabilités aux conséquences comparables dans certains systèmes Dell et Samsung.

Plus récemment, le chercheur Andrew Auernheimer a souligné la vulnérabilité offerte par le port TCP 9100, utilisé pour l’impression via le réseau. Trop souvent accessible directement sur Internet, il lui a permis d’utiliser des systèmes d’impression comme tout attaquant pourrait le faire à fin de spam.

Des chercheurs de l’institut Fraunhofer ont quant à eux montré comment compromettre un système d’impression Xerox Phaser 6700, fonctionnant sous Linux, y compris avec la version de janvier 2016 de son firmware. Déjà, en 2012, un exploit visant ses systèmes avait été rendu public et ajouté à la trousse à outils d’évaluation de vulnérabilités Metasploit.