© HP
© HP

Une faille critique a été détectée sur certaines imprimantes professionnelles de la marque HP. Des données numérisées ont donc été potentiellement exposées, mais l'entreprise se veut rassurante.

Un patch correctif est déjà en cours de production, mais n'arrivera que dans les 90 jours suivant l'annonce, qui a eu lieu le 4 avril dernier.

Une faille critique détectée sur les imprimantes professionnelles HP

On ne s'en méfie pas beaucoup et pourtant, les imprimantes peuvent devenir de véritables autoroutes pour les logiciels malveillants. De plus en plus connectées, les imprimantes disposent de systèmes informatiques qui vont au-delà du fait de simplement exécuter une requête d'impression. Enregistrement des numérisations, communication sans fil, calcul de l'encre à utiliser en fonction de la demande, commande de cartouches à distance, ces machines permettent de nombreuses choses.

En conséquence, elles sont de plus en plus ciblées par les pirates, qui n'hésitent pas à exploiter les failles des imprimantes pour ensuite se rediriger vers les appareils connectés sur le même réseau. C'est une faille critique de ce type qui a récemment été identifiée par HP au sein du micrologiciel de certaines de ses imprimantes professionnelles. Évaluée à 9,1/10 selon la norme CVSS v3.1 (Common Vulnerability Scoring System), la faille a été nommée CVE-2023-1707 et pourrait permettre à d'éventuels attaquants de récupérer des informations sensibles transmises entre les imprimantes et les autres appareils.

La faille détectée est certes importante, mais son potentiel d'exploitation est limité par le fait que les imprimantes pouvant être ciblées doivent exécuter la version 5.6 du micrologiciel FutureSmart et avoir IPsec activé. Pour information, IPsec est une suite de protocoles de sécurité réseau IP dont le but est de sécuriser les réseaux internes des entreprises. De son côté, FutureSmart permet de configurer l'imprimante, directement sur l'appareil ou à distance par l'intermédiaire d'un navigateur web et d'une page dédiée. Actuellement, les imprimantes souffrant de cette vulnérabilité sont :

  • HP Color LaserJet Enterprise M455

  • HP Color LaserJet Enterprise MFP M480

  • HP Color LaserJet Managed E45028

  • HP Color LaserJet Managed MFP E47528

  • HP Color LaserJet Managed MFP E785dn, HP Color LaserJet Managed MFP E78523, E78528

  • HP Color LaserJet Managed MFP E786, HP Color LaserJet Managed Flow MFP E786, HP Color LaserJet Managed MFP E78625/30/35, HP Color LaserJet Managed Flow MFP E78625/30/35

  • HP Color LaserJet Managed MFP E877, E87740/50/60/70, HP Color LaserJet Managed Flow E87740/50/60/70

  • HP LaserJet Enterprise M406

  • HP LaserJet Enterprise M407

  • HP LaserJet Enterprise MFP M430

  • HP LaserJet Enterprise MFP M431

  • HP LaserJet Managed E40040

  • HP LaserJet Managed MFP E42540

  • HP LaserJet Managed MFP E730, HP LaserJet Managed MFP E73025, E73030

  • HP LaserJet Managed MFP E731, HP LaserJet Managed Flow MFP M731, HP LaserJet Managed MFP E73130/35/40, HP LaserJet Managed Flow MFP E73130/35/40

  • HP LaserJet Managed MFP E826dn, HP LaserJet Managed Flow MFP E826z, HP LaserJet Managed E82650/60/70, HP LaserJet Managed E82650/60/70

La faille est en cours de correction, mais il faudra être patient

Le risque détecté par HP concerne donc essentiellement les entreprises ou les structures utilisant des imprimantes professionnelles. Le constructeur a rapidement réagi, expliquant que la période de vulnérabilité n'a duré que de mi-février à fin mars, et que les clients ne peuvent plus télécharger la version problématique du micrologiciel. HP précise également que les données numérisées sur la période auraient pu se retrouver dans la nature dans le cas où elles auraient été envoyées sur un emplacement distant, mais qu'à sa connaissance, aucune exploitation de la faille n'a été détectée.

Un correctif est bien en cours de développement, mais HP a déclaré qu'il faudrait jusqu'à 90 jours avant son déploiement. Il pourrait arriver plus tôt, mais HP n'a pas donné plus de précision à ce sujet. Pour l'heure, la seule solution proposée par le constructeur est de restaurer l'ancienne version du micrologiciel. Les utilisateurs sont donc vivement invités à revenir à la version 5.5.0.3 de FutureSmart.