Dès lors qu’un équipement doté d’un processeur, d’un OS est accessible via une connexion IP, il devient vulnérable. Ce que nous n’arrêtons pas de répéter depuis des années, pour mettre en évidence la faiblesse structurelle de la suite de protocoles TCP/IP.

Quant à l’équipement, ce n’est pas nécessairement une grosse machine motorisée par Windows ou Linux. Il peut s’agir de n’importe quoi, d’un objet, une caméra, un serveur…et une imprimante.

C’est ce que vient de nous rappeler un jeune britannique « désoeuvré », qui se fait appeler du nom de hacker « Stackoverflowin », qui a mis en évidence les faiblesses chroniques de protection de 158 000 imprimantes, auxquelles il a eu accès.

Son objectif n’était pas de casser quoi que ce soit, voire d’empêcher les imprimantes de fonctionner, mais simplement de mettre en évidence qu’à partir du moment où elles sont accessibles, on peut leur faire faire n’importe quoi, ici en l’occurrence imprimer quelques messages et dessins ASCII, mais surtout de démontrer qu’on peut les regrouper en botnets (« flamboyant » pour notre hacker) et leur faire participer à des attaques de grande envergure. Les imprimantes pouvant jouer le même rôle que les caméras du célèbre Mirai, ce botnet qui a dépassé le Tbps sur une attaque DDoS.

Un problème connu

Il n’y a pas de quoi être étonné par les révélations de « Stackoverflowin » faites au magazine Motherboard. Déjà il y a quelques mois, 3 étudiants allemands de l’Université de Ruhr-Bochum avaient démontré les faiblesses flagrantes des imprimantes, en publiant une étude dans laquelle ils avaient relevé les failles de ces équipements, essentiellement liées à l’usage de Postscript, dont il ne faut pas oublier qu’il est un langage de description de page et PJL (Printer Job Language). Grâce à ces vecteurs, ils ont prouvé qu’il était facile de faire du DDoS, d’intervenir sur le fonctionnement de l’imprimante, ce qui à la limite n’est pas trop grave mais surtout de voler les informations qui passent « à la volée », ce qui l’est beaucoup plus.

Ce qui a étonné notre étudiant désoeuvré, c’est la facilité avec laquelle il a pu se connecter « malicieusement » aux imprimantes. Il s’est contenté d’écrire un petit programme en C, puis de le lancer à l’aveuglette sur le Net, pour vérifier s’il n’y aurait pas quelques imprimantes susceptibles de répondre… Programme qui envoyait des jobs aux imprimantes, via le protocole LPDP (Line Printer Deamon Protocol) sur le port 515, IPP (Internet Printing Protocol) sur le port 631 et les jobs  proprement dits d’impression, sur le port 9100.

Stupéfaction, elles ont été plus de 150 000 dans ce cas, en toute impunité, ce qui donne une idée de l’état de délabrement des protections protocolaires TCP/IP et autres, mais aussi du danger qui nous guette, à partir du moment où il y aura des dizaines de milliards d’objets connectés sur le Net.

Pour « Stackoverflowin », c’est là que se situe le problème, car il ne voit pas pourquoi nous connectons des objets qui n’ont rien à faire sur Internet.

Un point de vue évidemment en contradiction avec le business gigantesque qui se profile derrière ces objets.

Morale de l’histoire

La morale de l’histoire nous semble être la simplicité dérisoire avec laquelle « Stackoverflowin » a pu commettre son « forfait », que personne ne viendra d’ailleurs lui reprocher. Un peu de C, la connaissance des instructions Postscript, celle des protocoles d’impression et de PJL, pour lancer les travaux et le tour est joué.

Résultat : en quelques secondes ce sont des opérateurs et des prestataires de Cloud qui peuvent disparaître (temporairement) de la carte d’Internet.

Morale de la morale : quand les architectes d’Internet comprendront-ils que leurs fondations sont d’une naïveté indécente et qu’il faut d’urgence lancer un grand projet de restructuration protocolaire ? Car il suffirait qu’un étudiant un peu doué s’ennuie quelque part, pour que tout leur édifice s’effondre…