Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

[Insolite] Quand Doom sert à montrer les vulnérabilités d’une imprimante

Carmackgeddon

[Insolite] Quand Doom sert à montrer les vulnérabilités d'une imprimante

Le 15 septembre 2014 à 13h30

Un chercheur en sécurité informatique a trouvé un moyen amusant de mettre en lumière les failles qu'il a trouvées sur certaines imprimantes Canon. Pour prouver qu'elles étaient capables d'exécuter diverses formes de code, notamment pour espionner le contenu des documents imprimés, il a simplement lancé Doom dessus.

Pour accéder aux données sensibles détenues par une entreprise, la solution la plus simple n'est pas nécessairement d'essayer d'entrer dans ses serveurs les plus critiques, et donc les mieux protégés. Parfois la porte dérobée peut se trouver à un endroit bien plus facile d'accès, comme une imprimante. 

 

Justement, Michael Jordon, un chercheur en sécurité chez Context Information Security, a découvert une faille béante dans certaines imprimantes Pixima de Canon. Une interface web permet d'accéder à diverses informations au sujet de l'imprimante, et elle est accessible sans qu'il soit nécessaire de s'identifier. Ainsi, n'importe qui peut connaître le niveau d'encre présent dans les cartouches, connaître le nom du poste qui bouche la file d'impression depuis 2 heures, mais aussi, mettre à jour le firmware de la bête. 

 

Ainsi, il est possible de forcer une mise à jour vers un firmware "fait maison" qui pourrait faire en sorte qu'une copie de tous les documents imprimés ou scannés arrivent chez quelqu'un de mal intentionné. Au vu du nombre de documents que peut générer une entreprise chaque jour, la fuite n'a rien d'anodin.

 

Doom Imprimante Canon

 

Pour mettre en lumière ce défaut de sécurisation évident, le chercheur n'a pas fait de démonstration en montrant qu'il pouvait récupérer tel ou tel type de document, mais a opté pour quelque chose de plus visuel : faire fonctionner Doom sur le petit écran de la machine. « Si vous pouvez faire tourner Doom sur une imprimante, vous pouvez y faire plein d'autres choses encore plus sales », explique-t-il à nos confrères du Guardian. Le résultat est visible en vidéo par ici. Les graphismes sont loin d'être très flatteurs mais l'essentiel est là : on peut tirer sur des méchants.

 

De son côté, Canon promet de faire le nécessaire pour « fournir un correctif aussi rapidement que possible » afin de colmater cette vulnérabilité, qui selon la marque ne concerne que des modèles lancés à partir de la seconde moitié de 2013.

Commentaires (52)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Un lien pour le portage ? <img data-src=" />

votre avatar

Un bon gars issue de la génération des gens qui mettaient des jeux sur leurs calculatrices en cours de math ça.

votre avatar

ah bah voila, une bonne raison de devenir stagiaire <img data-src=" />

votre avatar

Par contre,buter un Cyberdemon avec du papier,j’ai quand même un léger doute. <img data-src=" />

votre avatar

La vraie question c’est de savoir comment il se dirige et tire?!



Plutôt classe en tout cas. Limite, Canon devrait mettre le jeu en easter egg sur ses imprimantes. ça tuerait un peu la productivité mais moins que google avec pacman.

votre avatar

Sacré dunk

votre avatar



Pour accéder aux données sensibles détenues par une entreprise, la solution la plus simple n’est pas nécessairement d’essayer d’entrer dans ses serveurs les plus critiques, et donc les mieux protégés. Parfois la porte dérobée peut se trouver à un endroit bien plus facile d’accès, comme une imprimante n’importe quel objet connecté.



<img data-src=" />



La grande majorité des particuliers comme des entreprises ont toujours eu beaucoup de mal à assurer une “sécurité” minimum sur leurs ordinateurs, alors l’arrivée des objets connectés, ça va être une belle tranche de rigolade.<img data-src=" />



Les vendeurs de solution de sécurité doivent de frotter les mains..

votre avatar

C’est quand même important la sécurité des imprimantes. Là où je travaille, en dehors des jugements de ma juridiction, nous imprimons des comptabilités complètes d’associations par exemple…



Là, c’est franchement ballot de la part de Canon, surtout que, de plus en plus, les imprimantes passent par le réseau…

votre avatar

Vu le nom de la marque, c’est normal que Doom fonctionne sur ces imprimantes <img data-src=" />

votre avatar







DarKCallistO a écrit :



Par contre,buter un Cyberdemon avec du papier,j’ai quand même un léger doute. <img data-src=" />







  • la plume est plus forte que l’épée (mais peut-être moins que le BFG, remarque)

  • si le cyberdémon t’attaque avec une pierre, ton papier est super efficace







    Henri_MTL a écrit :



    Vu le nom de la marque, c’est normal que Doom fonctionne sur ces imprimantes <img data-src=" />





    bien vu <img data-src=" />




votre avatar

Il parait qu’on peut faire tourner Battlefield 4 sur les imprimantes HP. <img data-src=" />



A quand un benchmark pour imprimante ?<img data-src=" />

votre avatar







Boudh a écrit :



La vraie question c’est de savoir comment il se dirige et tire?!



Plutôt classe en tout cas. Limite, Canon devrait mettre le jeu en easter egg sur ses imprimantes. ça tuerait un peu la productivité mais moins que google avec pacman.





C’est la démo qui se lance pas une vraie session de jeu.


votre avatar

“L’imprimante la plus sécurisée est celle qui est connectée par câble à un PC sans internet”



Proverbe américain

votre avatar







edrin17 a écrit :



Il parait qu’on peut faire tourner Battlefield 4 sur les imprimantes HP. <img data-src=" />



A quand un benchmark pour imprimante ?<img data-src=" />





N’empêche, quand on pense à la puissance des imprimantes maintenant :vieuxcon:


votre avatar

C’est dingue le nombre de portages de Doom. Ce bon vieux jeu sert de référence encore aujourd’hui. Beau succès quand même <img data-src=" />

votre avatar







edrin17 a écrit :



Il parait qu’on peut faire tourner Battlefield 4 sur les imprimantes HP. <img data-src=" />



A quand un benchmark pour imprimante ?<img data-src=" />





on pourrait mettre pong sur nos vieilles IBM! <img data-src=" />


votre avatar

J’avais lu un article là dessus dans le magazine MISC.

Dans l’entreprise en question, ils faisaient très attention aux mises à jour des ordinateurs et aux règles entrantes du firewall.

Sauf que, l’imprimante n’était pas mise à jour, voire n’avait pas de mise à jour fournie par le fabricant.



En gros, une gentille imprimante ouvrait des connexions FTP à l’extérieur du réseau de l’entreprise. Elle y déposait les versions numériques des documents imprimés et scannés.



Sachant que les copieurs d’aujourd’hui savent nativement envoyer des fichiers par divers protocoles…


votre avatar



Ainsi, n’importe qui peut connaître le niveau d’encre présent dans les cartouches, connaître le nom du poste qui bouche la file d’impression depuis 2 heures, mais aussi, mettre à jour le firmware de la bête.



<img data-src=" />



C’est quoi cette interface Web et cette sécurité en mousse ???

votre avatar



Parfois la porte dérobée peut se trouver à un endroit bien plus facile d’accès, comme une imprimante.





Bah… si les gens impriment leurs documents sensibles en texte clair…





(<img data-src=" />)

votre avatar

Est-ce que le jeux marche du toner?

votre avatar

Si ca permet de passer le firewall / restrictions de l’entreprise, need.

Bon, après faudra que j’explique pourquoi je monopolise l’imprimante au boulot <img data-src=" />


votre avatar







garn a écrit :



Si ca permet de passer le firewall / restrictions de l’entreprise, need.

Bon, après faudra que j’explique pourquoi je monopolise l’imprimante au boulot <img data-src=" />





IP over imprimante, la nouvelle faille réseau..


votre avatar







edrin17 a écrit :



Il parait qu’on peut faire tourner Battlefield 4 sur les imprimantes HP. <img data-src=" />



A quand un benchmark pour imprimante ?<img data-src=" />







Ben, comment t’expliquer …

http://www.lesnumeriques.com/imprimante.html



La vitesse d’impression s’exprime en ppm.


votre avatar

Suite à un plantage de mon serveur maison, je me suis retrouvé avec l’interface de mon imprimante connectée en Wifi à poil sur le web. J’ai pas rigolé longtemps.

votre avatar







WereWindle a écrit :





  • la plume est plus forte que l’épée (mais peut-être moins que le BFG, remarque)



    • si le cyberdémon t’attaque avec une pierre, ton papier est super efficace





      bien vu <img data-src=" />







      C’est la tronconeuse qui a servi à couper les arbres à l’orgine du papier (et le bucheron)…. tout se tient.



votre avatar

Il y a une technique de port scanning ou l’on se sert d’une imprimante (ou tout autre objet connecté au réseau) pour savoir si un serveur répond sans dévoiler sa propre adresse IP. <img data-src=" />

Donc là ça prouve encore une fois que le coeur peut être ultra sécurisé si il y a un utilisateur trop peu méfiant ça ouvre la porte a toute les fuites possibles

votre avatar







Henri_MTL a écrit :



Vu le nom de la marque, c’est normal que Doom fonctionne sur ces imprimantes <img data-src=" />







1010 <img data-src=" />


votre avatar

C’est fait de façon drôle mais ça met en lumière un sacré problème. Ce, d’autant plus que les nouveaux copieurs ultra chiadés et dotés d’une puissance sans commune mesure avec une imprimante basique existent.



Quelque part, ça fait peur …

votre avatar







edrin17 a écrit :



Il parait qu’on peut faire tourner Battlefield 4 sur les imprimantes HP. <img data-src=" />



A quand un benchmark pour imprimante ?<img data-src=" />





Il parait qu’on peut OC les dernière Brother mais que du coup ça fait bugger la tesselation. Elles sont peut être plus puissante mais la concurrence a des drivers quand même plus fiable…


votre avatar







Commentaire_supprime a écrit :



C’est quand même important la sécurité des imprimantes. Là où je travaille, en dehors des jugements de ma juridiction, nous imprimons des comptabilités complètes d’associations par exemple…



Là, c’est franchement ballot de la part de Canon, surtout que, de plus en plus, les imprimantes passent par le réseau…







Pire encore : les copieurs, Ils ont des disques dur qui stockent bien comme il faut les fichiers imprimés/scannés, et souvent ces copieurs sont loués comme dans ma boite (changement de marché tous les 3 ans).

Malgré les différentes alertes que j’ai fais la dessus rien n’a bougé, on refile les copieurs en l’état (sans effacement du dd) au loueur….



Petite anecdote niveau sécurité: il y a quelques années j’avais du faire un brute force sur un copieur dont j’avais paumé le mot de passe (<img data-src=" />), je n’ai pas retrouvé le mot de passe de cette manière mais le système d’authentification du copieur n’a pas du tout aimé et est tombé… et du coup j’ai pu entrer dedans et changer le mot de passe admin.



Vu la teneur potentiellement sensible des documents copiés/ scannés les fabricants devraient faire un petit effort sur la sécurité des copieurs


votre avatar







DarKCallistO a écrit :



Par contre,buter un Cyberdemon avec du papier,j’ai quand même un léger doute. <img data-src=" />





Pour ma part, je trouve que faire des coupures de papier au démon jusqu’à ce que mort s’en suive, c’est plus sadique que d’y aller à la tronçonneuse…


votre avatar







uzak a écrit :



Sacré dunk







<img data-src=" />



You are not alone

C’était très bon ;-)


votre avatar







Zantetsuken a écrit :



<img data-src=" />



You are not alone

C’était très bon ;-)





haa, ça me rassure sur ma sénilité <img data-src=" />


votre avatar

J’espère que ça tournera sur ma “Canon i-SENSYS LBP3370” ^^

votre avatar







TofVW a écrit :



Pour ma part, je trouve que faire des coupures de papier au démon jusqu’à ce que mort s’en suive, c’est plus sadique que d’y aller à la tronçonneuse…







En même temps en face,c’est un lance-roquette,chacun ses arguments. <img data-src=" />


votre avatar

Maintenant il faut inclure la prise de screenshot … (en plus, vous pouvez direct l’encadrer!)

votre avatar

Quand il y a plus d’encre on peut faire une partie ou deux pour récupérer du sang.

votre avatar



Pour mettre en lumière ce défaut de sécurisation évident…



hadopi inside ?



Allez qui veut jouer à DOOM sur une imprimante juste pour, euh juste pour jouer à DOOM sur une imprimante ?



Chapeau quand même pour l’imagination des chercheurs en sécurité (et des malfaisants) en général, il fallait y penser.

votre avatar







Alkore a écrit :



Est-ce que le jeux marche du toner?





<img data-src=" />


votre avatar







Queno a écrit :



Un bon gars issue de la génération des gens qui mettaient des jeux sur leurs calculatrices en cours de math ça.



ca me rappelle quand on m’avait filé un Puissance4 couleur jouable seulement à 2, alors que j’avais une calculatrice monochrome.

qques heures après, le Puissance4 fonctionnait très bien sur ma calculatrice (barres et croix au lieu de croix vertes et rouges), était jouable au choix à 2 ou seul contre la calculatrice (mais malheureusement elle ne faisait que du random, il n’y avait pas d’IA), et surtout elle vérifiait toute seule si on avait validé un Puissance4 (et indiquait qui était le gagnant), certains avaient halluciné qu’on puisse faire ca dessus <img data-src=" />


votre avatar







uzak a écrit :



Sacré dunk







Merci ! Je suis venu voir les commentaires juste pour trouver une vanne sur le thème <img data-src=" />


votre avatar







DarKCallistO a écrit :



Par contre,buter un Cyberdemon avec du papier,j’ai quand même un léger doute. <img data-src=" />







Tu t’es jamais coupé avec du papier ? <img data-src=" />


votre avatar

Et ça a quoi comme CPU ces bêtes là ? J’espère que la mienne n’est pas affectée <img data-src=" />

votre avatar

Je vois déjà les gens “bonjour peut-on avoir doom sur notre copieur, cordialement” <img data-src=" />

votre avatar







j-dub a écrit :



Merci ! Je suis venu voir les commentaires juste pour trouver une vanne sur le thème <img data-src=" />





J’ai beau avoir connu cette époque, je pige pas la blague d’Uzak


votre avatar







maestro321 a écrit :



<img data-src=" />



La grande majorité des particuliers comme des entreprises ont toujours eu beaucoup de mal à assurer une “sécurité” minimum sur leurs ordinateurs, alors l’arrivée des objets connectés, ça va être une belle tranche de rigolade.<img data-src=" />



Les vendeurs de solution de sécurité doivent de frotter les mains..





les marketeux oui, les techos non.

Car on sait tous que tout cela sera insécurisable.(ipv4 oblige)



N’oublions jamais :



IPv4 a été crée dans le but d’assuré la remise des paquets même si une guerre thermonucléaire venait à scinder une grosse partie du réseau …



Mais jamais il n’a prétendu assurer une quelconque sécurisation de ces dits paquets… qui y transitent !


votre avatar

Bientôt Wolfenstein 3D sur les imprimantes 3D.

votre avatar

Je veux la même imprimante !! <img data-src=" />



On peut le dire, Doom a été transposé sur tout ce qui a un écran ou presque. <img data-src=" />

votre avatar

Need <img data-src=" />

votre avatar







shugninx a écrit :



J’ai beau avoir connu cette époque, je pige pas la blague d’Uzak







Le nom du gars qui a trouvé la faille : Michael Jordon.


votre avatar

Il aurait mieux fait de porter un client Torrent sur l’imprimante professionnelle de Marie-Françoise Marais <img data-src=" /> … Là ça aurait été marrant ET aurait pu instruire quelques “néophytes” <img data-src=" />





Après l’imprimante accusée à tort … voici l’imprimante accusée à raison <img data-src=" />





<img data-src=" />

votre avatar







j-dub a écrit :



Le nom du gars qui a trouvé la faille : Michael Jordon.







Étonné qu’il y ait que 3 mecs qui l’aient remarqué<img data-src=" />


[Insolite] Quand Doom sert à montrer les vulnérabilités d’une imprimante

Fermer