Preuve que les systèmes d’impression, comme tous les objets connectés et autres dispositifs IoT peuvent être imperméables aux malwares, HP a publié en fin d’année 2021 des patchs qui viennent corriger les vulnérabilités de sécurité identifiées par le fournisseur de cybersécurité F-Secure. Ces failles concernent plus de 150 modèles d'imprimantes multi-fonctions (MFP).
La stratégie payante pour les hackers
Pour les hackers, la stratégie la plus efficace consiste à inciter un utilisateur à visiter un site web malveillant pour exposer l'imprimante à une attaque d'impression intersite. Le site web imprime alors automatiquement à distance un document contenant une police de caractères malveillante, ce qui donne au hacker des droits d'exécution de code. Le hacker peut ensuite voler toutes les informations exécutées (ou mises en cache) par l'imprimante MFP, c'est-à-dire non seulement les documents imprimés, numérisés ou faxés, mais aussi les mots de passe et identifiants de connexion qui relient le périphérique au reste du réseau. Il peut également utiliser ces imprimantes piratées comme avant-poste pour mieux s'implanter sur le réseau et atteindre d'autres objectifs (vol ou modification d'autres données, diffusion de ransomwares, etc.)
Vers des malwares spécifiques aux imprimantes
Même si, en pratique, l'exploitation de ces vulnérabilités n'est pas à la portée de tous les hackers, les plus chevronnés pourraient très bien choisir de recourir à ces attaques dans le cadre d'opérations ciblées. Les vulnérabilités de l'analyseur des polices de caractères sont, en effet, wormables : les hackers peuvent donc créer des malwares capables de pirater l'imprimante multi-fonctions concernée et de s'autopropager ensuite à d'autres imprimantes vulnérables installées sur le même réseau.
Un point d’accès à protéger coûte que coûte
Les imprimantes peuvent donc offrir aux hackers une mine d'informations sensibles à dérober (sous la forme de fichiers commerciaux qui sont envoyés par les collaborateurs pour être imprimés, par exemple), mais aussi servir de point d'ancrage à l'intérieur du réseau pour lancer d'autres attaques. Et cette situation est d’autant plus problématique que les systèmes d’impression n'ont pas le même niveau de visibilité, de détection des menaces et de capacités d'investigation que les postes de travail, ordinateurs portables et autres serveurs d'entreprise. « Les entreprises oublient souvent que les imprimantes multi-fonctions ne sont ni plus ni moins que des ordinateurs entièrement fonctionnels, explique Timo Hirvonen, Principal Security Consultant chez F-Secure. Elles sont piratables, au même titre que des postes de travail ou d'autres endpoints. Les hackers peuvent s'en servir pour endommager l'infrastructure et les opérations d'une entreprise. Il faut savoir que les hackers expérimentés voient en chaque appareil non-sécurisé une opportunité. Les entreprises qui ne sécurisent pas leurs MFP comme les autres endpoints s'exposent à des attaques ».
6 conseils pour sécuriser les imprimantes multi-fonctions
Il est donc important pour les organisations de veiller à sécuriser leurs MFP vulnérables. Outre l'application de correctifs, plusieurs mesures doivent être prises pour sécuriser les MFP :
- Limiter l'accès physique aux MFP.
- Monitorer et tracer l’utilisation du système d’impression en mettant en place un accès par badge, carte à puce, code PIN ou tout autre moyen permettant de savoir qui à utiliser le système, quand et pour quelles opérations.
- Isoler les MFP dans un VLAN séparé et protégé par un pare-feu.
- Utiliser des autocollants anti-sabotage pour signaler toute manipulation physique de ces machines.
- Suivre les règles de bonnes pratiques des fournisseurs pour empêcher les modifications non-autorisées des paramètres de sécurité.
- Placer les MFP dans des zones surveillées par des caméras de vidéosurveillance, afin d'enregistrer toute manipulation physique de la machine en cas de piratage.
« Les grandes entreprises, les sociétés travaillant dans des secteurs stratégiques et les autres organisations disposant de ressources importantes doivent prendre cette menace au sérieux, ajoute le consultant F-Secure. Il n'y a pas lieu de paniquer, mais elles doivent évaluer leur degré d'exposition, pour agir en conséquence. Bien qu'il s'agisse d'une attaque avancée, elle peut être neutralisée par des mesures de base : segmentation du réseau, gestion des correctifs et renforcement de la sécurité ».
Renforcer la cyber-éducation des collaborateurs
Afin de lutter contre ces risques, un important travail de prévention et de sensibilisation auprès des collaborateurs est par ailleurs nécessaire. Selon l’éditeur de solutions de sécurité Sophos, 95% des pertes et violations de données ne seraient pas intentionnelles et seraient dûes à la négligence des collaborateurs. Cette même étude mentionne l’usage abusif des systèmes de messagerie et de chats ou des réseaux sociaux par les collaborateurs qui y partagent des données confidentielles, des mots de passe ou des dossiers sensibles. Pour toutes ces raisons, il est important de sensibiliser, former et éduquer l’ensemble du personnel de l’organisation aux stratégies d’attaques des cyber-criminels, afin qu’ils puissent réagir efficacement lorsqu’ils y sont confrontés.
La version complète de cet article est à retrouver dans le dernier Supplément gratuit d'Archimag intitulé "Numérisation intelligente : les clés pour gagner en performance".