HP rend votre imprimante de bureau plus sûre grâce à l’aide de pirates informatiques

Article de Sarah Murry – 2 août 2018 | Source : HP
Traduit de l’anglais par Laura Bocchibianchi

Getty Image

 

Le nouveau programme de cybersécurité Bug Bounty offre des récompenses pour la recherche de vulnérabilités dans les imprimantes commerciales HP.

Wanna Cry. Meltdown. Mirai. NotPetya.

Ces noms de guerre (en apparence absurdes) pour les cyber attaques majeures de ces dernières années inquiètent encore les bureaux du RSSI (Responsable de la sécurité des systèmes d’information – en anglais, Chief information security officer ou CISO) et ils ont raison de s’en inquiéter. La fréquence et la sophistication de ces attaques est incontestablement à la hausse – tout comme le raz-de-marée de dégâts qu’elles causent dans leur sillage.

Les entreprises ont besoin de toute l’aide possible pour garder une longueur d’avance sur la courbe de sécurité. C’est pourquoi HP s’appuie sur des chercheurs en sécurité du monde entier – communément appelés « white hat » (en français chapeau blanc) ou « hackers éthiques » – pour les aider à repérer les risques de sécurité avant qu’ils ne puissent prendre le contrôle d’un appareil connecté et compromettre les données sensibles de ce dernier.

« Les chances sont contre nous » déclare Shivaun Albright, Chief Technologist, Print Security, et membre du conseil consultatif de sécurité de HP. « Avec des millions d’attaques lancées en permanence, nous devons nous assurer que nous plaçons la barre très haute.

Les programmes Bug Bounty ne sont pas nouveaux, mais HP a dévoilé en août une nouvelle tournure de l’un d’entre eux – c’est le premier du genre pour une société d’impression. Devant la conférence Black Hat à Las Vegas, HP ouvre les rideaux à une partie de son code, avec l’espoir que la transparence et des récompenses en espèces bien placées inciteront les hackers créatifs à trouver des vulnérabilités cachées dans les imprimantes de bureau.

HP travaille avec BugCrowd pour aider à vérifier les menaces signalées et récompenser les chercheurs en sécurité (un mot de l’industrie pour les hackers) en fonction de la gravité de la faille, avec avantages variant entre 500$ et 10 000$. Cela fait parti des efforts continus de HP pour concevoir et développer des produits avec la sécurité à l’esprit du matériel sur la pile.

 

Le maillon faible pourrait être l’imprimante

Les hackers malveillants vont toujours chercher le maillon faible dans le réseau. Et le plus souvent, c’est l’imprimante de bureau (parfois négligée). En fait, HP affirme qu’une imprimante du bureau sur trois n’est pas sécurisée. « Ce que nous ne savons pas vraiment, c’est qu’une imprimante est en réalité un ordinateur sous le capot, qui peut servir de passerelle à un attaquant » affirme Justine Bone, directrice générale de MedSec, qui est également membre du conseil consultatif de la sécurité de HP. « Ensuite, il existe des systèmes beaucoup plus rentables et attrayants qui peuvent être atteints à partir de cette imprimante. »

Et une fois que le réseau a été enfreint, il peut être extrêmement coûteux d’y remédier, en particulier dans le cas d’attaques de rançongiciel (ransomware en anglais). De telles attaques, où d’importantes données ou accès sont retenus en otage contre une rançon, devraient coûter quelques 8 milliards de dollars cette année. « L’une des tendances que nous observons est l’emploi d’attaques plus destructives, où une fois que les hackers prennent le contrôle de l’appareil et violent le réseau, ils retiennent les données en otage », explique Albright. « Dans certains cas, même si vous payé la rançon, vous ne pouvez pas récupérer ces données. »

 

« Par l’approvisionnement par la foule* et en s’ouvrant à toutes les façons dont les attaquants pensent, rendent nos appareils beaucoup plus résistants. »
Justine Bone, membre du conseil consultatif de sécurité de HP

 

La sécurité requiert une communauté

Comme les failles ou les vulnérabilités sont signalées au programme Bug Bounty, HP utilise ces informations non seulement pour corriger la faille, mais aussi pour améliorer ses propres processus de tests internes. HP s’engage également avec les chercheurs en sécurité qui l’ont trouvé et tente d’identifier toutes les méthodes d’attaques potentielles. Cette intelligence est incorporée dans la prochaine version du produit, explique Albright.

« Une fois que nous comprenons les menaces qui existent dans l’industrie, nous concevons nos produits en tenant compte des exigences de sécurité depuis le début, de sorte que nous ayons les meilleures défenses possibles », dit-elle.

Les programmes Big Bounty aident les entreprises comme HP à élargir leur expertise sur la frontière en pleine expansion du hacking malveillant.

« Il y a tellement de différentes manières d’attaquer une machine et tellement de techniques qui peuvent être déployées » explique Bone. « Par l’approvisionnement par la foule* et en s’ouvrant à toutes les façons dont les attaquants pensent, rendent nos appareils beaucoup plus résistants. »

*: « crowdsourcing » dans le texte initial