10.000 dollars pour hacker une imprimante HP

HP veut mettre les pirates à l'épreuve des imprimantes. Le numéro un mondial des PC lance en effet un programme de prime (bug bounty) destiné aux hackers. La règle du jeu est simple : hacker une de ses imprimantes à distance, la prime : 10.000 dollars maximum.

10.000 dollars pour hacker une imprimante HP
 

publicité

Intéressé ? Il suffit de s'inscrire sur la plate-forme Bugcrowd, HP donne ensuite un accès distant à une quinzaine de modèles d’imprimantes multifonctions afin de dénicher des failles critiques. 

L'opération doit illustrer l'expertise d'HP en matière de sécurisation de ces périphériques. Cela fait en effet longtemps que la firme américaine met la sécurité au premier plan dans sa communication autour de ses imprimantes avec divers dispositifs physiques et logiciels pour limiter les risques locaux et à distance. L'imprimante n'est-elle pas un objet connecté comme les autres, soumis aux mêmes failles ?

Pour autant, les failles subsistent et elles sont nombreuses. En 2017, trois chercheurs de l’université de Ruhr-Bochum en Allemagne ont entrepris d’exploiter ce filon et le résultat a dépassé leurs espérances : ils ont ainsi mis en place un wiki afin de répertorier les différentes attaques envisageables via les imprimantes.

Ces techniques d’attaques exploitent notamment Postscript et Printer Job Language (PJL), deux langages de programmation utilisés par de nombreuses imprimantes.

Les attaques répertoriées par les chercheurs peuvent permettre un vaste choix d’effet, allant du deni de service pur et simple (réalisable grâce à deux simples lignes de commande PostScript) en passant par la manipulation des langages de description afin de changer le fonctionnement de ceux-ci, au vol d’information et de documents stockés par l’imprimante.

Les chercheurs à l'origine de l'étude ont compilé dans un tableau les différentes imprimantes testées, les vulnérabilités effectives ou non et le langage exploité. Cliquez sur l'image pour agrandir.  

Ces vulnérabilités touchent un large éventail de machines : une vingtaine a été testée par les chercheurs, mais la popularité des langages PostScript et PJL laisse penser que de nombreuses imprimantes sont vulnérables à des attaques de ce type. De nombreuses attaques ne nécessitent pas un accès physique à la machine et peuvent tout à fait être orchestrées depuis l’extérieur du réseau local de l’entreprise.