dans

Le nouveau programme HP Bug Bounty cible les vulnérabilités des cartouches d’imprimante

Dans le cadre de cette initiative sur, invitation uniquement, les pirates informatiques recevront 10 000 dollars pour chaque bug de sécurité qu’ils découvriront, plus un droit de base.

La vulnérabilité des appareils connectés augmentée suite au confinement

Les vulnérabilités des imprimantes de bureau et autres appareils connectés au réseau auxquels accèdent les travailleurs à domicile ont pris une importance accrue ces derniers mois avec l’augmentation spectaculaire du travail à distance déclenchée par la pandémie COVID-19.

De nombreuses études réalisées ces dernières années, dont une par le NCC Group l’année dernière et une autre par CyberNews en août, portant sur le détournement de quelque 26 000 appareils dans le monde, ont mis en évidence le risque que courent les organisations en ayant des imprimantes vulnérables connectées au réseau. L’augmentation du télétravail suite à l’épidémie de coronavirus a considérablement exacerbé ces préoccupations.

En réponse, HP – l’un des plus grands fabricants d’imprimantes au monde – a lancé cette semaine un nouveau programme de prime pour découvrir les vulnérabilités potentielles des imprimantes, comportant ce que la société décrit comme ses cartouches d’impression de classe bureautique.

Dans le cadre de ce programme, HP a invité un petit groupe de pirates informatiques à chapeau blanc (white-hat hackers) ayant une expertise spécifique dans le domaine de la technologie d’impression à se pencher sur sa technologie des cartouches d’impression. Chaque hacker recevra une rémunération de base convenue, plus 10 000 dollars pour chaque vulnérabilité découverte. La société de coordination des vulnérabilités BugCrowd, qui fait appel à un grand nombre de personnes, gérera le nouveau programme de prime aux bogues de HP.

« Les imprimantes en réseau sont un point d’extrémité souvent négligé sur un réseau », explique Shivaun Albright, responsable de la sécurité de l’impression chez HP. « Sans protocoles de sécurité appropriés, ces terminaux peuvent devenir la cible de cyber-attaques. »

Selon Mme Albright, ces dernières années, on a assisté à une augmentation des attaques visant les technologies des systèmes intégrés qui sont souvent partagés entre des appareils connectés. « Le risque concerne aussi bien les microprogrammes (firmware) des PC que ceux des imprimantes », explique Mme Albright.

A lire :  Kojima révèle le mode photo PC de Death Stranding - et je suis amoureux

Cartouche Encre

HP: des programmes de recherches de bugs qui apportent des résultats

Le nouveau programme de prime « HP bug bounty » est le deuxième sur la sécurité des imprimantes qu’il a lancé ces dernières années. En juillet 2018, la société a lancé un programme similaire à celui divulgué cette semaine, sauf qu’il se concentrait sur les vulnérabilités potentielles de l’imprimante elle-même. L’initiative de découverte de bugs de 2018 a permis de découvrir et de signaler à HP près de 40 vulnérabilités.

Le nouveau programme de détection de bugs s’ajoute aux efforts précédents, en se concentrant sur les problèmes de sécurité potentiels dans les interfaces entre l’imprimante et ses cartouches d’encre et de toner, explique Mme Albright. Plus précisément, le programme couvre les vulnérabilités des OfficeJet Pro, LaserJet Pro, LaserJet Enterprise/Managed, Pagewide Pro et Pagewide Enterprise/Managed de HP.

Les cartouches de bureau HP de ces systèmes, comme la plupart des cartouches d’encre et de toner modernes, comportent des puces à microcontrôleur intégrées avec un code qui leur permet de communiquer avec l’imprimante pour diverses tâches. En parallèle de ce sujet, si votre imprimante ne reconnait pas les cartouches, nous vous conseillons de consulter le guide de TonerPartenaire.

Les vulnérabilités de ces cartouches peuvent donner aux attaquants un moyen de prendre potentiellement le contrôle de l’imprimante et de l’utiliser comme point de saut dans le réseau auquel l’appareil est connecté.

« Les puces de microcontrôleur sur les cartouches offrent des avantages importants aux clients en matière de gestion de l’approvisionnement, d’authentification et de compatibilité », explique Mme Albright. « Mais elles peuvent aussi être un point d’entrée pour les attaques », note-t-elle.

Parmi les vecteurs d’attaque potentiels, elle indique comment les microcontrôleurs reprogrammables des cartouches d’imprimante peuvent être mis à jour pour ajouter de nouveaux microprogrammes contenant des codes malveillants. « Ces cartouches pourraient ensuite être insérées dans la chaîne d’approvisionnement des imitations de cartouches pour être livrées à une cible sans méfiance ».

A lire :  Test de l'Acer Swift 5 (fin 2019): de la lumière sur votre dos, plus légère sur votre portefeuille

En plus des risques liés à la chaîne d’approvisionnement, les imprimantes peuvent être attaquées d’autres manières. Un rapport récent de Moor Insights & Strategy a décrit les attaques typiques d’imprimantes résultant d’exploits impliquant de vieux micrologiciels. De nombreuses attaques permettent aux acteurs de la menace de faire à peine plus que contrôler ou perturber le fonctionnement des imprimantes. Mais des attaques plus graves, notamment celles qui exploitent les débordements de mémoire tampon, peuvent entraîner l’exposition de données sensibles, selon le cabinet d’analystes.

Source : cybernews.com

  • HP 912 Cartouche d'encre Magenta Original 3YL78AE
    ~315 pages - Compatible avec OfficeJet Pro 8022 All-in-One, OfficeJet Pro 8023 All-in-One, OfficeJet Pro 8024 All-in-One, OfficeJet Pro 8025 All-in-One, OfficeJet 8012 All-in-One, OfficeJet 8014 All-in-One, OfficeJet 8015 All-in-One, OfficeJet 8010 All-in-One
  • HP imprimante LASER HP Laserjet Pro M118dw
    Marque¤HP Type¤Imprimante Noir & Blanc Fonctions¤Imprime Type de cartouche (imprimante)¤Toner monochrome Références cartouches¤CF232A/CF294A/CF294X Format d'impression¤Jusqu'à A4 Wifi ¤Oui Compatibilité logicielle¤WINDOWS, Mac OS Recto verso auto¤Oui Qualité d'impression max¤1 200 x 1 200 ppp Vitesse
  • HP Imprimante HP Smart Tank Plus ST 555
    Cette imprimante à réservoir d'encre haute capacité assure une qualité sans compromis et offre jusqu'à 3 ans de cartouches d'encre inclus dans le coffret. Bénéficiez de connexions plus rapides avec le Wi-Fi bi-bande, et de l'impression mobile facile
Un écran de 1,5 mètre pour le conducteur et le passager: Mercedes-Benz dévoile son Hyperscreen pour le futur EQS

Un écran de 1,5 mètre pour le conducteur et le passager: Mercedes-Benz dévoile son Hyperscreen pour le futur EQS

Sacha Baron Cohen Quitte Borat Pour Le Moment

Sacha Baron Cohen quitte Borat pour le moment