Les imprimantes attaquées par… des polices

De nos jours, les pirates informatiques qui sondent l’infrastructure d’une organisation ont rarement la chance de trouver un poste de travail sans agent EDR. Ils se concentrent donc sur la compromission des serveurs ou de divers appareils spécialisés connectés au réseau, qui disposent de privilèges d’accès assez étendus, mais manquent de protection EDR et souvent même de fonctions de journalisation. Dans un précédent article, nous avons décrit en détail les types d’appareils de bureau vulnérables. Les attaques du monde réel en 2025 se concentrent sur les appareils réseau (comme les passerelles VPN, les pare-feu et les routeurs), les systèmes de vidéosurveillance et les serveurs eux-mêmes. Il ne faut toutefois pas perdre de vue les imprimantes, comme l’a rappelé Peter Geissler, chercheur indépendant, lors du Security Analyst Summit 2025. Il a décrit une vulnérabilité qu’il avait découverte dans les imprimantes Canon (CVE-2024-12649, CVSS 9.8), qui permet d’exécuter du code malveillant sur ces appareils. Et l’aspect le plus intéressant de cette vulnérabilité est que son exploitation se limite à envoyer un fichier anodin à imprimer.

Police de caractères de type cheval de Troie : une attaque via la vulnérabilité CVE-2024-12649

L’attaque commence par l’envoi d’un fichier XPS à imprimer. Ce format, créé par Microsoft, contient toutes les informations nécessaires à l’impression de documents et constitue une alternative au format PDF. Le format XPS est essentiellement une archive ZIP contenant une description détaillée du document, toutes ses images ainsi que les polices utilisées. Les polices sont généralement stockées dans le format TTF (TrueType Font) très répandu, inventé par Apple. Et c’est précisément la police elle-même, qui n’est généralement pas considérée comme étant dangereuse, qui contient le code malveillant.

Le format TTF a été conçu pour que les lettres aient le même aspect sur tous les supports et s’adaptent correctement à toutes les tailles, du plus petit caractère à l’écran au plus grand sur une affiche imprimée. Pour atteindre cet objectif, chaque lettre peut être accompagnée d’instructions de hinting, qui décrivent les nuances d’affichage des lettres de petite taille. Les instructions de hinting sont essentiellement des commandes destinées à une machine virtuelle compacte qui, malgré sa simplicité, prend en charge tous les éléments de base de la programmation : gestion de la mémoire, sauts et branchements. Geissler et ses collègues ont étudié comment cette machine virtuelle est mise en œuvre dans les imprimantes Canon. Ils ont découvert que certaines instructions de hinting TTF sont exécutées de manière non sécurisée. Par exemple, les commandes de la machine virtuelle qui gèrent la pile ne vérifient pas s’il y a un débordement.

Ils ont ainsi réussi à créer une police malveillante. Lorsqu’un document contenant ce code est imprimé sur certaines imprimantes Canon, il provoque un débordement de la mémoire tampon, écrit des données au-delà des tampons de la machine virtuelle et aboutit à l’exécution de code sur le processeur de l’imprimante. L’attaque est entièrement menée via le fichier TTF ; le reste du contenu du fichier XPS est inoffensif. En réalité, il est assez difficile de détecter le code malveillant même dans le fichier TTF : il n’est pas très long, la première partie consiste en des instructions de machine virtuelle TTF, et la seconde partie s’exécute sur le système d’exploitation propriétaire très particulier de Canon (DryOS).

Il convient de noter que, ces dernières années, Canon s’est concentré sur la sécurisation du micrologiciel de ses imprimantes. Par exemple, l’entreprise a recours aux registres DACR et aux indicateurs NX (no-execute) pris en charge par les processeurs ARM afin de limiter la possibilité de modifier le code système ou d’exécuter du code dans des fragments de mémoire destinés uniquement au stockage de données. Malgré ces efforts, l’architecture globale de DryOS ne permet pas la mise en œuvre efficace de mécanismes de protection de la mémoire, comme l’ASLR ou le stack canary, courants dans les systèmes d’exploitation modernes plus importants. C’est pourquoi les chercheurs trouvent parfois des moyens de contourner la protection existante. Par exemple, dans l’attaque dont nous parlons, le code malveillant a réussi à être exécuté après avoir été placé, via la technique TTF, dans une mémoire tampon destinée à un autre protocole d’impression, l’IPP.

Scénario d’exploitation réaliste

Dans son bulletin décrivant la vulnérabilité, Canon affirme que celle-ci peut être exploitée à distance si l’imprimante est accessible via Internet. Par conséquent, la société recommande de configurer un pare-feu afin que l’imprimante ne puisse être utilisée qu’à partir du réseau interne de l’entreprise. Bien que ce soit un bon conseil et que l’imprimante doive effectivement être retirée de l’accès public, il ne s’agit pas du seul scénario d’attaque possible.

Dans son rapport, Peter Geissler a présenté un scénario hybride beaucoup plus réaliste dans lequel le pirate informatique envoie à un employé une pièce jointe par email ou message instantané et, sous un prétexte ou un autre, lui demande d’imprimer le document. Si la victime envoie le document à l’impression, au sein du réseau interne de l’organisation et sans aucune connexion à Internet, le code malveillant est exécuté sur l’imprimante. Bien entendu, les capacités du programme malveillant, lorsqu’il s’exécute sur l’imprimante, seront limitées par rapport à celles d’un programme malveillant qui aurait infecté un ordinateur à part entière. Cependant, il pourrait, par exemple, créer un tunnel en établissant une connexion avec le serveur attaquant, permettant ainsi aux pirates informatiques de cibler d’autres ordinateurs au sein de l’organisation. Une autre utilisation potentielle de ce programme malveillant sur l’imprimante pourrait consister à transférer toutes les informations imprimées dans l’entreprise directement vers le serveur des pirates informatiques. Dans certaines organisations, comme les cabinets d’avocats, cette situation pourrait entraîner une violation critique des données.

Comment contrer cette menace liée aux imprimantes

La vulnérabilité CVE-2024-12649 et plusieurs autres problèmes étroitement liés peuvent être éliminés en installant la mise à jour du micrologiciel de l’imprimante conformément aux instructions de Canon. Malheureusement, de nombreuses organisations, même celles qui mettent régulièrement à jour les logiciels installés sur leurs ordinateurs et serveurs, ne disposent pas d’un processus systématique pour mettre à jour le micrologiciel des imprimantes. Le processus doit être mis en œuvre pour tous les équipements connectés au réseau informatique.

Cependant, les chercheurs en sécurité soulignent qu’il existe une multitude de vecteurs d’attaque ciblant les équipements spécialisés. Il n’y a donc aucune garantie que les pirates ne s’armeront pas demain d’un exploit similaire méconnu des fabricants d’imprimantes et de leurs clients. Voici quelques conseils pour minimiser le risque d’exploitation :

• Segmentez le réseau : limitez la capacité de l’imprimante à établir des connexions sortantes et à accepter des connexions provenant d’appareils et d’utilisateurs non autorisés à lancer des impressions.
• Désactivez tous les services non utilisés sur l’imprimante.
• Définissez un mot de passe administrateur unique et complexe pour chaque imprimante/appareil.
• Mettez en place un système de sécurité complet au sein de l’organisation, comprenant notamment un logiciel EDR installé sur tous les ordinateurs et serveurs, un pare-feu moderne et une surveillance complète du réseau basée sur un système SIEM.