« J’ai d’abord pris le contrôle de leurs imprimantes. Puis de leur réseau. Ensuite, j’ai mis la main sur leurs données… Avec tout ce que je leur ai pris, ça va faire mal. » Il s’agit d’un extrait d’un film court produit par Hewlett-Packard mettant en scène Christian Slater, qui joue le rôle du « Loup ». Dans ce film, le Loup montre comment l’imprimante de bureau –« l’objet » originel de « l’internet des objets » – peut représenter une vraie menace pour une entreprise.
Entrez donc, c’est ouvert
De nos jours, la plupart des imprimantes sont connectées par le biais du wifi. Et bien souvent, pour ces imprimantes, la connexion wifi est ouverte par défaut. Ce qui revient presque à garer sa Ferrari dans son garage, puis à placer une enseigne lumineuse devant celui-ci pour s’assurer que tout le monde soit au courant qu’une voiture de luxe y est stationnée. Et que les portes du véhicule ne sont pas verrouillées. Et que les clés sont dans la boîte à gants. Vous pensez que j’exagère ?
Un programme informatique baptisé Shodan a été lancé en 2009. Il a été conçu pour identifier des appareils reliés à internet, et –en particulier– des appareils dont la sécurité n’est pas optimale. Shodan a fait parler de lui après que des experts se soient rendus compte qu’il pouvait être utilisé pour localiser des webcams vulnérables sur le plan de la sécurité, permettant ainsi aux hackers de s’y connecter sans que leurs propriétaires ne soient au courant.
Plus récemment, des chercheurs singapouriens ont développé deux applications mobiles basées sur le même principe, dont le but est également de détecter des appareils dont la connexion wifi est ouverte. Et les imprimantes en sont une cible de choix. L’idée est d’attacher un smartphone disposant de l’application à un drone, et de faire planer ce dernier à l’extérieur d’immeubles de bureaux, à la recherche de réseaux wifi ouverts.
L’une de versions de ces applications, Cyber Security Patrol, est plutôt sympa. Lorsqu’une imprimante vulnérable est détectée, l’application lui envoie un message pour alerter l’entreprise. Les versions moins sympathiques de l’application, en revanche, créent un point d’accès qui permet d’intercepter les documents envoyés vers l’imprimante, avant qu’ils n’y parviennent. Ces documents –qui peuvent inclure des informations personnelles ou confidentielles– peuvent ensuite être redirigés vers le compte Dropbox du hacker, via la connexion 3G ou 4G du téléphone. Une fois téléchargés, ces documents sont relâchés afin d’être imprimés, sans que personne ne sache qu’un pirate informatique y a eu accès.
Les hackers peuvent également utiliser une imprimante pour accéder aux serveurs de l’entreprise. En se servant de la machine non sécurisée comme d’un tremplin, certains cybercriminels sont en mesure d’installer un logiciel malveillant sur les réseaux de l’entreprise, qui peut alors servir à dérober des informations ou à provoquer une attaque par déni de service (ou attaque DDoS).
Pensez à vous protéger
Comme pour tout appareil de ce type, les imprimantes et les photocopieurs disposent de disques durs capables de stocker de larges volumes d’information. En d’autres termes, tout ce qui est scanné sur l’une de ces machines y est également stocké. Et peu d’entreprises font l’effort d’effacer leurs documents sensibles du disque dur interne de ces appareils.
Par ailleurs, bien que le disque dur d’une imprimante puisse être protégé par un certain niveau d’encodage, ces protocoles sont souvent moins robustes que ceux en place sur un serveur ou un ordinateur ; c’est pourquoi ces appareils attirent autant les cybercriminels.
En 2010, par exemple, une entreprise américaine du domaine de la santé a été condamnée à payer une amende d’1,2 million de dollars pour ne pas avoir correctement protégé les informations personnelles et médicales de plus de 330 000 patients. Ces dernières n’avaient pas été effacées des disques durs de photocopieurs de location.
Sonner le signal d’alarme
Bien qu’il soit de notoriété publique que ces imprimantes de bureau puissent être utilisées par des hackers, la menace qu’elles représentent est souvent négligée.
En 2012, la Columbia University a mené un certain de nombre de recherches sur la question. Dans le cadre de ce projet, des chercheurs ont hacké une gamme d’imprimantes en utilisant le système d’exploitation des machines pour y installer des programmes malveillants. Le groupe de chercheurs a même remarqué que certaines de ces machines utilisaient des systèmes d’exploitation datant de 1992. D’autres chercheurs ont essayé de mettre en avant les faiblesses de ces machines, cette fois de manière plus créative. En 2014, un chercheur de l’association Context Information Security a réussi à reprogrammer le logiciel d’une imprimante professionnelle afin de pouvoir y jouer à Doom, un jeu vidéo du début des années 1990.
Malheureusement, le message n’est pas passé pour tout le monde.
Une étude réalisée en 2015 par le Ponemon Institute, par exemple, a démontré que 56 % des entreprises n’incluent pas leurs imprimantes à leurs tests de sécurité informatique. Ce qui est d’autant plus étonnant que 60% de ces entreprises ont souffert d’atteintes à leurs données via leurs imprimantes ; il leur a fallu en moyenne 46 jours pour résoudre ces incidents.
L’année suivante, une étude menée par HP a révélé que seuls 18% des répondants étaient inquiets à propos de la sécurité de leurs imprimantes, alors que 91% l’étaient à propos de celle de leurs ordinateurs.
Reconnaître la menace
Protéger une imprimante des hackers n’est pourtant pas compliqué et ne nécessite que des mesures de bon sens. La plus grande difficulté réside souvent dans l’inclusion de ces machines dans les programmes de sécurité informatique.
Les experts de la cyber-sécurité recommandent que les entreprises n’achètent que des appareils qui disposent de systèmes de sécurité permettant de détecter des intrusions. De plus en plus de modèles possèdent ces fonctionnalités mais ce n’est pas encore le cas de tous.
Une autre recommandation est de prendre le temps de lister l’ensemble des appareils connectés de son réseau. Un inventaire complet permet aux professionnels de la sécurité informatique d’identifier les machines qui n’ont pas nécessairement besoin d’être connectées à internet, et à prendre les précautions nécessaires pour celles qui doivent l’être. Une option viable, pour ces dernières, peut être de remplacer une connexion sans fil par un simple câble –lorsque c’est possible.
Par ailleurs, les mots de passe d’usine doivent systématiquement être changés lorsqu’un appareil rejoint le parc d’une entreprise. Cette procédure est presque toujours mise en œuvre pour les nouveaux ordinateurs, mais ce n’est pas le cas pour les appareils périphérique, comme les imprimantes, les climatiseurs ou bien encore les caméras de sécurité qui sont souvent utilisés avec les identifiants génériques fournis par le fabricant.
Enfin –et c’est le cas pour tout risque lié au cyber– il est important d’être conscient que la sécurité « technologique » est nécessaire mais pas suffisante. Une entreprise peut disposer de solides procédures et des meilleurs outils pour assurer la sécurité de ses systèmes, mais réduire son exposition aux risques technologiques passent également –et en premier lieu– par les individus qui utilisent ces machines connectées.