Sécurité - La vulnérabilité avait
été révélée par des chercheurs de l’université de Columbia qui avaient
démontré qu’elle pouvait permettre de prendre le contrôle à distance
d’une imprimante et de s’infiltrer sur un réseau.
HP a annoncé en fin de semaine dernière la publication d’une mise à jour de sécurité pour ses imprimantes de la gamme LaserJet afin de corriger la vulnérabilité révélée il y a presque un mois. Des chercheurs de l’université de Columbia avaient mis à jour une faille de sécurité susceptible de permettre à un pirate de prendre le contrôle à distance d’une imprimante connectée pour pouvoir voler des données ou pénétrer un réseau.
La vulnérabilité se situe au niveau du système de mise à jour automatique du firmware de l’imprimante. Lors de chaque demande d’impression, il vérifie la présence d’une mise à jour mais n’utilise pas de certificat numérique pour en authentifier la provenance (depuis 2009, toutes les imprimantes utilisent un certificat numérique). HP avait reconnu un risque potentiel si l’imprimante est utilisée sur un point d’accès Internet public qui n’est pas sécurisé par un pare-feu. Mais le constructeur insistait sur le fait qu’aucune intrusion de ce type n’avait été rapportée.
Cela n’a pas empêché un particulier de saisir la justice en affirmant qu’HP a sciemment commercialisé ses imprimantes alors qu’il connaissait l’existence de cette vulnérabilité. Dans le communiqué annonçant le correctif, HP recommande de sécuriser les imprimantes en utilisant un pare-feu et si possible de désactiver le système de mise à jour automatique du firmware.
REF.: (Eureka Presse)
HP a annoncé en fin de semaine dernière la publication d’une mise à jour de sécurité pour ses imprimantes de la gamme LaserJet afin de corriger la vulnérabilité révélée il y a presque un mois. Des chercheurs de l’université de Columbia avaient mis à jour une faille de sécurité susceptible de permettre à un pirate de prendre le contrôle à distance d’une imprimante connectée pour pouvoir voler des données ou pénétrer un réseau.
La vulnérabilité se situe au niveau du système de mise à jour automatique du firmware de l’imprimante. Lors de chaque demande d’impression, il vérifie la présence d’une mise à jour mais n’utilise pas de certificat numérique pour en authentifier la provenance (depuis 2009, toutes les imprimantes utilisent un certificat numérique). HP avait reconnu un risque potentiel si l’imprimante est utilisée sur un point d’accès Internet public qui n’est pas sécurisé par un pare-feu. Mais le constructeur insistait sur le fait qu’aucune intrusion de ce type n’avait été rapportée.
Cela n’a pas empêché un particulier de saisir la justice en affirmant qu’HP a sciemment commercialisé ses imprimantes alors qu’il connaissait l’existence de cette vulnérabilité. Dans le communiqué annonçant le correctif, HP recommande de sécuriser les imprimantes en utilisant un pare-feu et si possible de désactiver le système de mise à jour automatique du firmware.
REF.: (Eureka Presse)