Sécurisation des imprimantes : un maillon souvent oublié.
Bien que les constructeurs d’imprimante mettent à disposition des mécanismes de sécurisation de leurs équipements, la plupart des déploiements ne les prennent pas en compte.
Pourtant, les imprimantes sont une cible facile qui peut rendre le travail d’un attaquant beaucoup plus aisĂ©. En effet, les imprimantes sont installĂ©es et configurĂ©es partout sur le rĂ©seau de l’entreprise, y compris sur des parties sensibles. Les imprimantes sont parfaites pour pivoter et lancer des attaques rĂ©seau. Elles traitent toutes sortes d’informations et sont prĂ©sentes dans toutes les organisations, avec un Ă©tat de sĂ©curitĂ© souvent faible, et largement ignorĂ©s dans la plupart des organisations.
Souvent, la responsabilitĂ© de ce type d’équipement est assez mal dĂ©finie : les responsables de la sĂ©curitĂ© ont souvent une mauvaise visibilitĂ© sur les dĂ©ploiements d’imprimantes parce que ces achats sont gĂ©nĂ©ralement effectuĂ©s en dehors du cycle d’achat informatique et sans que l’Ă©quipe de sĂ©curitĂ© ne soit inclue dans le processus.
L’ironie est que la plupart des imprimantes d’entreprise sont aujourd’hui livrĂ©es avec des contrĂ´les de sĂ©curitĂ© sophistiquĂ©s, qui peuvent ĂŞtre configurĂ©s pour rĂ©pondre aux besoins de la plupart des utilisateurs, mais qui sont gĂ©nĂ©ralement dĂ©sactivĂ©s par dĂ©faut.
Dès lors, la réponse comporte différents aspects, tant techniques que organisationnels.
De la mĂŞme manière que le mot « tĂ©lĂ©phone » signifie dĂ©sormais « un superordinateur de poche qui permet de passer des appels vocaux », le mot « imprimante » signifie aujourd’hui « un tĂ©lĂ©copieur, un photocopieur, un serveur web, un serveur de messagerie et un serveur ftp avec une connexion gigabit Ethernet connectĂ© directement Ă votre rĂ©seau d’entreprise.” Elle conserve les documents sensibles prĂ©cĂ©demment imprimĂ©s sur un disque dur interne pour pratiquement toujours, jusqu’à la dĂ©chèterie si la mise au rebut n’a pas Ă©tĂ© correctement gĂ©rĂ©e. Ainsi, on peut assez facilement se retrouver face Ă une fuite de donnĂ©e incontrĂ´lĂ©e.
Autre aspect souvent mal géré, la gestion du patch management. On a rarement vu un rapport de conformité concernant la version des firmwares des différentes imprimantes présentes sur le parc. Pour autant, ces serveurs autonomes sont de parfaits endroits pour permettre à un pirate de pivoter au sein du réseau et de gagner une tête de pont sur leurs cibles.
Comment limiter au mieux les risques associés à ces équipements ?
Les Ă©quipes de sĂ©curitĂ© de l’entreprise doivent ĂŞtre impliquĂ©es très tĂ´t dans l’achat des imprimantes afin d’inclure les exigences de sĂ©curitĂ© dans toute demande de proposition. Mais le plus important, c’est que la responsabilitĂ© doit s’arrĂŞter quelque part. Qui est responsable de la sĂ©curitĂ© de l’imprimante ? Quand la responsabilitĂ© est diluĂ©e dans une demi-douzaine de rĂ´les diffĂ©rents, le dĂ©sastre sĂ©curitaire est proche.
Pour ĂŞtre efficace, il est indispensable d’assurer une visibilitĂ© continue des Ă©tats de sĂ©curitĂ© des imprimantes. Les fonctions de sĂ©curitĂ© doivent ĂŞtre activĂ©es et conservĂ©es mĂŞme après l’entretien (lorsque les techniciens de rĂ©paration peuvent rĂ©initialiser les rĂ©glages d’usine, par exemple). De nombreux fabricants proposent d’ailleurs des outils afin de centraliser la configuration des Ă©quipements et de faciliter la modification maĂ®trisĂ©e de celle-ci.
Enfin, les principes de base de la sĂ©curitĂ© informatique s’appliquent toujours : fermer ports inutiles, dĂ©sactiver les services inutilisĂ©s, surveiller en permanence le trafic rĂ©seau pour dĂ©tecter toute activitĂ© suspecte, s’assurer que le processus de blanchiment des disques durs des imprimantes sont correctement appliquĂ©s avant qu’ils ne quittent l’entreprise (ils sont souvent gigantesques et contiennent des tonnes de documents sensibles qui y restent après avoir Ă©tĂ© imprimĂ©s).
Au fait, Ă quelles attaques sont elles sensibles ? Assez traditionnellement, aux 10 risques les plus critiques de sĂ©curitĂ© des applications Web de l’OWASP. On y retrouvera donc des CSRF (cross-site request forgery), des XSS (cross-site scripting), et mĂŞme des buffer overflow.
L’un des principaux obstacles Ă la sĂ©curisation des imprimantes est que les fabricants d’imprimantes utilisent des logiciels propriĂ©taires et ne favorisent pas les outils offrant une plus grande interopĂ©rabilitĂ©. Les paramètres de sĂ©curitĂ© ne sont pas accessibles via SNMP et les logiciels de gestion des imprimantes des fabricants, tout en permettant d’accĂ©der aux paramètres de sĂ©curitĂ©, sont limitĂ©s tant dans leurs fonctionnalitĂ©s que dans la couverture possible du parc existant.
Un contournement serait de ne référencer qu’un seul fournisseur ou de développer en interne une solution.
Quels sont les secteurs les plus touchés ?
Aujourd’hui, de nombreuses sociĂ©tĂ©s dĂ©pendent de moins en moins du papier. ExceptĂ© le monde de la santĂ©. Les flottes d’imprimantes dans les hĂ´pitaux sont le parent pauvre d’un système d’information dĂ©jĂ très fragile. Aux Etats-unis, de nombreux hĂ´pitaux ont Ă©tĂ© condamnĂ©s Ă des amendes pouvant aller jusqu’à un million de dollars pour une fuite de donnĂ©es concernant les renseignements mĂ©dicaux protĂ©gĂ©s de 344 579 personnes lors de la restitution de plusieurs photocopieurs en fin de contrat Ă un bailleur sans effacer les donnĂ©es contenues dans les disques durs des photocopieuses. C’Ă©tait il y a presque dix ans. Pour autant, les choses ont peu bougĂ© depuis.
A l’heure du R.G.P.D., les organisations de soins de santé doivent penser aussi aux risques de sécurité que les appareils d’impression posent pour la sécurité de leurs patients.
Les organismes de soins de santé ne sont pas les seuls à cet égard. Les entreprises de tous secteurs devraient regarder d’un oeil plus attentif l’état de leur parc d’impression.
M.
Vous souhaitez en savoir plus ?
Contactez-nous ici
Â