Hacker une imprimante HP peut rapporter 10 000 dollars
Mise en question autant par des études que des piratages, la sécurité des imprimantes fait l’objet d’un bug bounty organisé par HP.
Gagner jusqu’à 10 000 dollars en piratant une imprimante ? C’est la promesse faite par HP.
Le groupe américain organise depuis peu un bug bounty dédié. La compétition est hébergée sur la plate-forme Bugcrowd. Elle est pour l’heure accessible uniquement sur inscription.
Les participants bénéficient d’un accès distant à une quinzaine de modèles d’imprimantes multifonctions. L’un d’entre eux a déjà, affirme HP, reçu la somme maximale pour avoir déniché une faille critique
L’initiative fait écho à un rapport publié l’an dernier. Des chercheurs de l’université de la Ruhr y font part de leurs expérimentations sur la base du Printer Exploitation Toolkit. Cet outil développé par leurs soins automatise un grand nombre d’attaques qui ont fait l’objet de diverses études depuis le début des années 2000.
Une vingtaine d’imprimantes de multiples marques (Brother, Dell, HP, Kyocera, Lexmark, Samsung…) sont passées sur le gril, systématiquement mises à jour avec le dernier firmware disponible.
Bilan : chacune d’entre elles présentait au moins une vulnérabilité.
Passé le déni de service (saturation du port TCP 9100, simulation de bourrage papier, mise hors service de la mémoire flash par multiplication des cycles d’écriture…), la majorité se sont révélées vulnérables à des manipulations de tâches d’impression. Même constat pour l’exfiltration de données, notamment d’identifiants de connexion, la faute à des failles dans les interpréteurs PJL et PostScript.
Ces failles étaient souvent connues depuis des années, mais globalement mal documentées… et non corrigées.
Mauvaises connexions
Les imprimantes sont, en règle générale, d’autant plus exposées que leurs identifiants par défaut n’ont pas été modifiés. Le botnet Mirai, qui a sévi en 2016, exploitait cette fragilité sur un éventail plus large d’appareils connectés, des routeurs aux caméras.
La possibilité d’installer des applications constitue un autre vecteur d’attaque, typiquement pour implanter un firmware malveillant*.
En la matière, HP dispose d’outils de validation d’intégrité également appliqués au BIOS. Sauf que sur certaines des imprimantes mises à l’épreuve, il a suffi aux chercheurs de comprendre comment fonctionnaient les algorithmes assurant cette validation d’intégrité. Le fait que les mises à jour soient souvent livrées comme de simples tâches d’impression leur a de façon générale facilité le travail.
L’an dernier, un hacker avait exploité un autre écueil : le paramétrage des ports logiciels, souvent trop généreusement ouverts aux connexions entrantes. Il a été en mesure – affirme-t-il – de lancer des impressions à distance sur 150 000 imprimantes.
@lmaostack ajaja from Patagonia, Chile. pic.twitter.com/LP7kPopivk
— Victor Elgueta (@totelio) 7 février 2017
Du côté de l’université de la Ruhr, on prévoit d’examiner plus en détail les services d’impression en ligne, en tête desquels Google Cloud Print, tout particulièrement au niveau du convertisseur PostScript – PDF. Les imprimantes 3D sont un autre axe de réflexion.
Photo d’illustration : HP