PDG de HP : bloquer l’encre tierce des imprimantes permet de lutter contre les virus

Jeudi dernier, le PDG de HP, Enrique Lores, a évoqué la pratique controversée de l’entreprise consistant à bloquer les imprimantes lorsque les utilisateurs les chargent avec de l’encre tierce. S’adressant à CNBC Television , il a déclaré : « Nous avons vu que vous pouvez intégrer des virus dans les cartouches. Grâce à la cartouche, [le virus peut] accéder à l’imprimante, [puis] depuis l’imprimante, accéder au réseau.

Ce scénario effrayant pourrait expliquer pourquoi HP, qui a été frappé ce mois-ci par un autre procès concernant son système de sécurité dynamique , insiste pour le déployer sur les imprimantes.

La sécurité dynamique empêche les imprimantes HP de fonctionner si une cartouche d’encre sans puce HP ni circuit électronique HP est installée. HP a publié des mises à jour du micrologiciel qui empêchent l’impression des imprimantes équipées de telles cartouches d’encre, ce qui a conduit au procès ci-dessus ( PDF ), qui demande une certification de recours collectif. La poursuite allègue que les clients d’imprimantes HP n’étaient pas informés que les mises à jour du micrologiciel de l’imprimante publiées fin 2022 et début 2023 pourraient entraîner le dysfonctionnement des fonctionnalités de l’imprimante. Le procès demande des dommages-intérêts et une injonction empêchant HP de publier des mises à jour d’imprimante qui bloquent les cartouches d’encre sans puce HP.

Mais les cartouches d’encre piratées sont-elles quelque chose dont nous devrions réellement nous inquiéter ?

Pour enquêter, je me suis tourné vers Dan Goodin, rédacteur en chef de la sécurité d’Ars Technica. Il m’a dit qu’il ne connaissait aucune attaque activement utilisée dans la nature, capable d’utiliser une cartouche pour infecter une imprimante.

Goodin a également posé la question à Mastodon , et les professionnels de la cybersécurité, dont beaucoup possèdent une expertise dans le piratage des appareils embarqués, se sont montrés résolument sceptiques.

Un autre commentateur, s’appelant Graham Sutherland / Polynomial sur Mastodon, a fait référence à la mémoire morte programmable et effaçable électriquement (EEPROM) à détection de présence en série (SPD), une forme de mémoire flash largement utilisée dans les cartouches d’encre, en disant :

J’ai vu et fait des trucs matériels vraiment farfelus dans ma vie, notamment cacher des données dans des EEPROM SPD sur des DIMM de mémoire (et les remplacer par des microcontrôleurs pour des manigances similaires), alors croyez-moi quand je dis que son affirmation est extrêmement invraisemblable, même dans un en laboratoire, encore moins dans la nature, et encore moins à toute échelle qui a un impact sur les entreprises ou les individus plutôt que sur des acteurs politiques sélectionnés.

La preuve de HP

Sans surprise, l’affirmation de Lores provient d’une recherche soutenue par HP. Le programme Bug Bounty de l’entreprise a chargé les chercheurs de Bugcrowd de déterminer s’il est possible d’utiliser une cartouche d’encre comme cybermenace. HP a fait valoir que les puces du microcontrôleur des cartouches d’encre, utilisées pour communiquer avec l’imprimante, pourraient constituer une porte d’entrée pour les attaques.

Comme détaillé dans un article de 2022 du cabinet de recherche Actionable Intelligence, un chercheur du programme a trouvé un moyen de pirater une imprimante via une cartouche d’encre tierce. Le chercheur aurait été incapable d’effectuer le même hack avec une cartouche HP.

Shivaun Albright, technologue en chef de la sécurité d’impression chez HP, a déclaré à l’époque :

Un chercheur a découvert une vulnérabilité au niveau de l’interface série entre la cartouche et l’imprimante. Essentiellement, ils ont trouvé un débordement de tampon. C’est là que vous disposez d’une interface que vous n’avez peut-être pas testée ou validée suffisamment bien, et le pirate informatique a pu déborder dans la mémoire au-delà des limites de ce tampon particulier. Et cela leur donne la possibilité d’injecter du code dans l’appareil.

Albright a ajouté que le malware « est resté en mémoire sur l’imprimante » après le retrait de la cartouche.

HP reconnaît qu’il n’existe aucune preuve d’un tel piratage dans la nature. Néanmoins, comme les puces utilisées dans les cartouches d’encre tierces sont reprogrammables (leur « code peut être modifié via un outil de réinitialisation directement sur le terrain », selon Actionable Intelligence), elles sont moins sécurisées, affirme la société. Les puces seraient programmables afin de pouvoir continuer à fonctionner dans les imprimantes après les mises à jour du micrologiciel.

HP remet également en question la sécurité des chaînes d’approvisionnement des sociétés d’encre tierces, en particulier par rapport à la sécurité de sa propre chaîne d’approvisionnement, qui est certifiée ISO/IEC .

HP a donc trouvé un moyen théorique de pirater les cartouches, et il est raisonnable pour l’entreprise d’émettre une prime aux bogues pour identifier un tel risque. Mais sa solution à cette menace a été annoncée avant de montrer qu’il pouvait y avoir une menace. HP a ajouté une formation sur la sécurité des cartouches d’encre à son programme de prime aux bogues en 2020, et les recherches ci-dessus ont été publiées en 2022. HP a commencé à utiliser Dynamic Security en 2016, apparemment pour résoudre le problème dont il a cherché à prouver l’existence des années plus tard.

De plus, les professionnels de la cybersécurité avec lesquels Ars s’est entretenu ont le sentiment que même si une telle menace existait, cela nécessiterait un niveau élevé de ressources et de compétences, qui sont généralement réservées au ciblage des victimes de premier plan. En réalité, la grande majorité des consommateurs individuels et des entreprises ne devraient pas s’inquiéter sérieusement de l’utilisation de cartouches d’encre pour pirater leurs machines.