Un de nos lecteurs, que nous remercions, nous a récemment signalé l’existence d’un problème potentiellement très important avec les imprimantes laser du constructeur HP. Pour nombre de “LaserJet”, n’importe qui pourrait lancer des impressions à distance. Il suffirait pour cela de se connecter en invité sur le panneau de contrôle de l’imprimante reliée au web.
Trouver des imprimantes configurées de la sorte est une tâche facile. Quelques requêtes bien formulées dans Google (qui référence toutes les imprimantes) et le tour est joué. Nous avons pu ainsi trouver plusieurs milliers de CP4025 accessibles depuis le web.
Évidemment, les spammers ont sauté sur l’occasion pour diffuser des publicités sur les imprimantes concernées. Nous pouvons aussi imaginer l’application de techniques de “social engineering” pour obtenir des informations critiques de la part de l’entreprise.
HP ne semble pour le moment pas très prompt à corriger ce problème. En tout état de cause, nous nous demandons pourquoi la configuration de tant d’imprimantes les rend visibles sur la Toile et pourquoi le compte invité permet d’accéder aux fonctions d’impression. Problème de configuration par défaut ou erreur lors de l’installation ?
Ce n’est d’ailleurs pas tout : l’utilisateur connecté en invité peut voir l’état de l’imprimante et des consommables, le nombre d’impressions effectuées, le nom des dernières tâches réalisées, etc. La faille va donc bien plus loin qu’un simple accès aux fonctions d’impression. Il est ainsi possible de mettre l’imprimante en pause… à distance.
Pire encore, il est permis d’envoyer des documents d’impression à l’imprimante (PRN, PS, PDF), mais aussi des fichiers de mise à jour du micrologiciel de la machine. Il est ainsi possible de la véroler (via un firmware « bricolé »), voire de la planter durablement (via un firmware volontairement défectueux). Incroyable !
Évidemment la disponibilité de ces fonctions dépend de la LaserJet utilisée. Nous nous sommes basés sur une CP4025 pour nos essais. Nous nous excusons auprès de l’Université de Carnegie Mellon, qui sera surprise de voir demain un document inattendu dans le bac à papier d’une de ses imprimantes. Et nous la remercions de nous le faire parvenir à la rédaction de Silicon.fr, 23 rue d’Aumale, 75009 Paris, France (sic).
Voir aussi
Quiz Silicon.fr – HP : du garage à la multinationale
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
