RSSI : reprennez le controle de votre parc d'impression
Sécurisation des imprimantes : un maillon souvent oublié.
Bien que les constructeurs d’imprimante mettent à disposition des mécanismes de sécurisation de leurs équipements, la plupart des déploiements ne les prennent pas en compte.
Pourtant, les imprimantes sont une cible facile qui peut rendre le travail d’un attaquant beaucoup plus aisé. En effet, les imprimantes sont installées et configurées partout sur le réseau de l’entreprise, y compris sur des parties sensibles. Les imprimantes sont parfaites pour pivoter et lancer des attaques réseau. Elles traitent toutes sortes d’informations et sont présentes dans toutes les organisations, avec un état de sécurité souvent faible, et largement ignorés dans la plupart des organisations.
Souvent, la responsabilité de ce type d’équipement est assez mal définie : les responsables de la sécurité ont souvent une mauvaise visibilité sur les déploiements d’imprimantes parce que ces achats sont généralement effectués en dehors du cycle d’achat informatique et sans que l’équipe de sécurité ne soit inclue dans le processus.
L’ironie est que la plupart des imprimantes d’entreprise sont aujourd’hui livrées avec des contrôles de sécurité sophistiqués, qui peuvent être configurés pour répondre aux besoins de la plupart des utilisateurs, mais qui sont généralement désactivés par défaut.
Dès lors, la réponse comporte différents aspects, tant techniques que organisationnels.
De la même manière que le mot « téléphone » signifie désormais « un superordinateur de poche qui permet de passer des appels vocaux », le mot « imprimante » signifie aujourd’hui « un télécopieur, un photocopieur, un serveur web, un serveur de messagerie et un serveur ftp avec une connexion gigabit Ethernet connecté directement à votre réseau d’entreprise.” Elle conserve les documents sensibles précédemment imprimés sur un disque dur interne pour pratiquement toujours, jusqu’à la déchèterie si la mise au rebut n’a pas été correctement gérée. Ainsi, on peut assez facilement se retrouver face à une fuite de donnée incontrôlée.
Autre aspect souvent mal géré, la gestion du patch management. On a rarement vu un rapport de conformité concernant la version des firmwares des différentes imprimantes présentes sur le parc. Pour autant, ces serveurs autonomes sont de parfaits endroits pour permettre à un pirate de pivoter au sein du réseau et de gagner une tête de pont sur leurs cibles.
Comment limiter au mieux les risques associés à ces équipements ?
Les équipes de sécurité de l’entreprise doivent être impliquées très tôt dans l’achat des imprimantes afin d’inclure les exigences de sécurité dans toute demande de proposition. Mais le plus important, c’est que la responsabilité doit s’arrêter quelque part. Qui est responsable de la sécurité de l’imprimante ? Quand la responsabilité est diluée dans une demi-douzaine de rôles différents, le désastre sécuritaire est proche.
Pour être efficace, il est indispensable d’assurer une visibilité continue des états de sécurité des imprimantes. Les fonctions de sécurité doivent être activées et conservées même après l’entretien (lorsque les techniciens de réparation peuvent réinitialiser les réglages d’usine, par exemple). De nombreux fabricants proposent d’ailleurs des outils afin de centraliser la configuration des équipements et de faciliter la modification maîtrisée de celle-ci.
Enfin, les principes de base de la sécurité informatique s’appliquent toujours : fermer ports inutiles, désactiver les services inutilisés, surveiller en permanence le trafic réseau pour détecter toute activité suspecte, s’assurer que le processus de blanchiment des disques durs des imprimantes sont correctement appliqués avant qu’ils ne quittent l’entreprise (ils sont souvent gigantesques et contiennent des tonnes de documents sensibles qui y restent après avoir été imprimés).
Au fait, à quelles attaques sont elles sensibles ?
Assez traditionnellement, aux 10 risques les plus critiques de sécurité des applications Web de l’OWASP. On y retrouvera donc des CSRF (cross-site request forgery), des XSS (cross-site scripting), et même des buffers overflow.
L’un des principaux obstacles à la sécurisation des imprimantes est que les fabricants d’imprimantes utilisent des logiciels propriétaires et ne favorisent pas les outils offrant une plus grande interopérabilité. Les paramètres de sécurité ne sont pas accessibles via SNMP et les logiciels de gestion des imprimantes des fabricants, tout en permettant d’accéder aux paramètres de sécurité, sont limités tant dans leurs fonctionnalités que dans la couverture possible du parc existant.
Un contournement serait de ne référencer qu’un seul fournisseur ou de développer en interne une solution.
Quels sont les secteurs les plus touchés ?
Aujourd’hui, de nombreuses sociétés dépendent de moins en moins du papier. Excepté le monde de la santé. Les flottes d’imprimantes dans les hôpitaux sont le parent pauvre d’un système d’information déjà très fragile. Aux Etats-unis, de nombreux hôpitaux ont été condamnés à des amendes pouvant aller jusqu’à un million de dollars pour une fuite de données concernant les renseignements médicaux protégés de 344 579 personnes lors de la restitution de plusieurs photocopieurs en fin de contrat à un bailleur sans effacer les données contenues dans les disques durs des photocopieuses. C’était il y a presque dix ans. Pour autant, les choses ont peu bougé depuis.
A l’heure du R.G.P.D., les organisations de soins de santé doivent penser aussi aux risques de sécurité que les appareils d’impression posent pour la sécurité de leurs patients.
Les organismes de soins de santé ne sont pas les seuls à cet égard. Les entreprises de tous secteurs devraient regarder d’un oeil plus attentif l’état de leur parc d’impression.
M.
