Cross-site printing : quand un PoC révèle de nombreuses failles dans les langages des imprimantes (trop de blabla) !

Objet inanimé et fournissant (presque !) toujours ce qu’on lui demande, objet isolé, elle n’est pourtant pas épargné des vulnérabilités modernes du monde informatique… Preuve en est apparemment avec cette récente étude mettant en évidence de multiples failles au sein des langages PJL et PostScript…

 

 

Trois chercheurs en sécurité de l’Université de la Ruhr (Bochum) expliquent de manière détaillée que des langages propres à l’usage d’imprimantes en apparence inoffensifs peuvent être malicieusement détournés. Principalement concernés : les langages PJL (Printer Job Langage) et PostScript (le grand frère du PDF), pouvant ainsi, pour une personne malveillante, être une arme indirecte dans le but d’intercepter voire de modifier les travaux d’impression ou encore extirper des données / les endommager et ce, apparemment, quelle que soit le modèle avancé ou non d’imprimante dont, d’ailleurs, une vingtaine ont été testées en guise d’échantillons : « Des dommages physiques peuvent être causés environ pour la moitié des appareils testés dans les 24 heures […] les travaux peuvent être manipulés ou capturés […] » expliquent Jens Müller, Juraj Somorovsky et Vladislav Mladenov dans leur billet explicatif relatif à cette grave XSP (Cross-Site Printing).

 

On pourra retenir que pour les cas d’imprimantes intégrant un mot de passe, celui s’avère malheureusement peu efficace puisque désactivé via une attaque en « force brute » assez rapidement du fait actuellement que ce type d’appareil ne permet pas d’entrer un mot de passe complexe pour la partie PJL. Concernant la partie PostScript, dans ce cas-ci, le mot de passe s’avère mineure « grâce aux interprètes performants » (les chercheurs ont notifié « jusqu’à 100 000 vérifications de mots de passe / sec.« ).

 

Le PoC et les ressources sont disponibles sur Github, en notant qu’une présentation de l’ensemble sera donnée par l’un des chercheurs lors d’une conférence sécuritaire organisée par l’Université, du 2 au 5 Mai 2017, lors du RuhrSec. Nul doute que ce type de vulnérabilité attira des oreilles attentives ; gageons des constructeurs et des fabricants pour renforcer, par exemple, le mot de passe comme pour les objets connectés où encore trop peu voient leur firmware à jour pour ne pas dire quasiment pas sauf impondérable notable nécessitant de mettre à jour l’appareil… A veiller !

 

Source : Web-in-security.blogspot.fr – Billet du 30 Janvier 2017