{"id":23409,"date":"2025-11-28T11:51:26","date_gmt":"2025-11-28T09:51:26","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23409"},"modified":"2025-11-28T11:51:26","modified_gmt":"2025-11-28T09:51:26","slug":"canon-ttf-vulnerability-printer-risk","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/canon-ttf-vulnerability-printer-risk\/23409\/","title":{"rendered":"Les imprimantes attaqu\u00e9es par\u2026 des polices"},"content":{"rendered":"

De nos jours, les pirates informatiques qui sondent l\u2019infrastructure d\u2019une organisation ont rarement la chance de trouver un poste de travail sans agent EDR<\/a>. Ils se concentrent donc sur la compromission des serveurs ou de divers appareils sp\u00e9cialis\u00e9s connect\u00e9s au r\u00e9seau, qui disposent de privil\u00e8ges d\u2019acc\u00e8s assez \u00e9tendus, mais manquent de protection EDR et souvent m\u00eame de fonctions de journalisation. Dans un pr\u00e9c\u00e9dent article, nous avons d\u00e9crit en d\u00e9tail les types d\u2019appareils de bureau vuln\u00e9rables<\/a>. Les attaques du monde r\u00e9el en 2025 se concentrent sur les appareils r\u00e9seau (comme les passerelles VPN, les pare-feu et les routeurs), les syst\u00e8mes de vid\u00e9osurveillance et les serveurs eux-m\u00eames. Il ne faut toutefois pas perdre de vue les imprimantes, comme l\u2019a rappel\u00e9 Peter Geissler, chercheur ind\u00e9pendant, lors du Security Analyst Summit 2025<\/a>. Il a d\u00e9crit une vuln\u00e9rabilit\u00e9 qu\u2019il avait d\u00e9couverte dans les imprimantes Canon (CVE-2024-12649<\/a>, CVSS\u00a09.8), qui permet d\u2019ex\u00e9cuter du code malveillant sur ces appareils. Et l\u2019aspect le plus int\u00e9ressant de cette vuln\u00e9rabilit\u00e9 est que son exploitation se limite \u00e0 envoyer un fichier anodin \u00e0 imprimer.<\/p>\n

Police de caract\u00e8res de type cheval de Troie\u00a0: une attaque via la vuln\u00e9rabilit\u00e9 CVE-2024-12649<\/h2>\n

L\u2019attaque commence par l\u2019envoi d\u2019un fichier XPS \u00e0 imprimer. Ce format, cr\u00e9\u00e9 par Microsoft, contient toutes les informations n\u00e9cessaires \u00e0 l\u2019impression de documents et constitue une alternative au format PDF. Le format XPS est essentiellement une archive ZIP contenant une description d\u00e9taill\u00e9e du document, toutes ses images ainsi que les polices utilis\u00e9es. Les polices sont g\u00e9n\u00e9ralement stock\u00e9es dans le format TTF (TrueType Font) tr\u00e8s r\u00e9pandu, invent\u00e9 par Apple. Et c\u2019est pr\u00e9cis\u00e9ment la police elle-m\u00eame, qui n\u2019est g\u00e9n\u00e9ralement pas consid\u00e9r\u00e9e comme \u00e9tant dangereuse, qui contient le code malveillant.<\/p>\n

Le format TTF a \u00e9t\u00e9 con\u00e7u pour que les lettres aient le m\u00eame aspect sur tous les supports et s\u2019adaptent correctement \u00e0 toutes les tailles, du plus petit caract\u00e8re \u00e0 l\u2019\u00e9cran au plus grand sur une affiche imprim\u00e9e. Pour atteindre cet objectif, chaque lettre peut \u00eatre accompagn\u00e9e d\u2019instructions de hinting<\/a>, qui d\u00e9crivent les nuances d\u2019affichage des lettres de petite taille. Les instructions de hinting sont essentiellement des commandes destin\u00e9es \u00e0 une machine virtuelle compacte qui, malgr\u00e9 sa simplicit\u00e9, prend en charge tous les \u00e9l\u00e9ments de base de la programmation\u00a0: gestion de la m\u00e9moire, sauts et branchements. Geissler et ses coll\u00e8gues ont \u00e9tudi\u00e9 comment cette machine virtuelle est mise en \u0153uvre dans les imprimantes Canon. Ils ont d\u00e9couvert que certaines instructions de hinting TTF sont ex\u00e9cut\u00e9es de mani\u00e8re non s\u00e9curis\u00e9e<\/a>. Par exemple, les commandes de la machine virtuelle qui g\u00e8rent la pile ne v\u00e9rifient pas s\u2019il y a un d\u00e9bordement.<\/p>\n

Ils ont ainsi r\u00e9ussi \u00e0 cr\u00e9er une police malveillante. Lorsqu\u2019un document contenant ce code est imprim\u00e9 sur certaines imprimantes Canon, il provoque un d\u00e9bordement de la m\u00e9moire tampon, \u00e9crit des donn\u00e9es au-del\u00e0 des tampons de la machine virtuelle et aboutit \u00e0 l\u2019ex\u00e9cution de code sur le processeur de l\u2019imprimante. L\u2019attaque est enti\u00e8rement men\u00e9e via le fichier TTF\u00a0; le reste du contenu du fichier XPS est inoffensif. En r\u00e9alit\u00e9, il est assez difficile de d\u00e9tecter le code malveillant m\u00eame dans le fichier TTF\u00a0: il n\u2019est pas tr\u00e8s long, la premi\u00e8re partie consiste en des instructions de machine virtuelle TTF, et la seconde partie s\u2019ex\u00e9cute sur le syst\u00e8me d\u2019exploitation propri\u00e9taire tr\u00e8s particulier de Canon (DryOS).<\/p>\n

Il convient de noter que, ces derni\u00e8res ann\u00e9es, Canon s\u2019est concentr\u00e9 sur la s\u00e9curisation du micrologiciel de ses imprimantes. Par exemple, l\u2019entreprise a recours aux registres DACR<\/a> et aux indicateurs NX (no-execute) pris en charge par les processeurs ARM afin de limiter la possibilit\u00e9 de modifier le code syst\u00e8me ou d\u2019ex\u00e9cuter du code dans des fragments de m\u00e9moire destin\u00e9s uniquement au stockage de donn\u00e9es. Malgr\u00e9 ces efforts, l\u2019architecture globale de DryOS ne permet pas la mise en \u0153uvre efficace de m\u00e9canismes de protection de la m\u00e9moire, comme l\u2019ASLR<\/a> ou le stack canary<\/a>, courants dans les syst\u00e8mes d\u2019exploitation modernes plus importants. C\u2019est pourquoi les chercheurs trouvent parfois des moyens de contourner la protection existante. Par exemple, dans l\u2019attaque dont nous parlons, le code malveillant a r\u00e9ussi \u00e0 \u00eatre ex\u00e9cut\u00e9 apr\u00e8s avoir \u00e9t\u00e9 plac\u00e9, via la technique TTF, dans une m\u00e9moire tampon destin\u00e9e \u00e0 un autre protocole d\u2019impression, l\u2019IPP.<\/p>\n

Sc\u00e9nario d\u2019exploitation r\u00e9aliste<\/h2>\n

Dans son bulletin<\/a> d\u00e9crivant la vuln\u00e9rabilit\u00e9, Canon affirme que celle-ci peut \u00eatre exploit\u00e9e \u00e0 distance si l\u2019imprimante est accessible via Internet. Par cons\u00e9quent, la soci\u00e9t\u00e9 recommande de configurer un pare-feu afin que l\u2019imprimante ne puisse \u00eatre utilis\u00e9e qu\u2019\u00e0 partir du r\u00e9seau interne de l\u2019entreprise. Bien que ce soit un bon conseil et que l\u2019imprimante doive effectivement \u00eatre retir\u00e9e de l\u2019acc\u00e8s public, il ne s\u2019agit pas du seul sc\u00e9nario d\u2019attaque possible.<\/p>\n

Dans son rapport, Peter Geissler a pr\u00e9sent\u00e9 un sc\u00e9nario hybride beaucoup plus r\u00e9aliste dans lequel le pirate informatique envoie \u00e0 un employ\u00e9 une pi\u00e8ce jointe par email ou message instantan\u00e9 et, sous un pr\u00e9texte ou un autre, lui demande d\u2019imprimer le document. Si la victime envoie le document \u00e0 l\u2019impression, au sein du r\u00e9seau interne de l\u2019organisation et sans aucune connexion \u00e0 Internet, le code malveillant est ex\u00e9cut\u00e9 sur l\u2019imprimante. Bien entendu, les capacit\u00e9s du programme malveillant, lorsqu\u2019il s\u2019ex\u00e9cute sur l\u2019imprimante, seront limit\u00e9es par rapport \u00e0 celles d\u2019un programme malveillant qui aurait infect\u00e9 un ordinateur \u00e0 part enti\u00e8re. Cependant, il pourrait, par exemple, cr\u00e9er un tunnel en \u00e9tablissant une connexion avec le serveur attaquant, permettant ainsi aux pirates informatiques de cibler d\u2019autres ordinateurs au sein de l\u2019organisation. Une autre utilisation potentielle de ce programme malveillant sur l\u2019imprimante pourrait consister \u00e0 transf\u00e9rer toutes les informations imprim\u00e9es dans l\u2019entreprise directement vers le serveur des pirates informatiques. Dans certaines organisations, comme les cabinets d\u2019avocats, cette situation pourrait entra\u00eener une violation critique des donn\u00e9es.<\/p>\n

Comment contrer cette menace li\u00e9e aux imprimantes<\/h2>\n

La vuln\u00e9rabilit\u00e9 CVE-2024-12649 et plusieurs autres probl\u00e8mes \u00e9troitement li\u00e9s peuvent \u00eatre \u00e9limin\u00e9s en installant la mise \u00e0 jour du micrologiciel de l\u2019imprimante conform\u00e9ment aux instructions de Canon<\/a>. Malheureusement, de nombreuses organisations, m\u00eame celles qui mettent r\u00e9guli\u00e8rement \u00e0 jour les logiciels install\u00e9s sur leurs ordinateurs et serveurs, ne disposent pas d\u2019un processus syst\u00e9matique pour mettre \u00e0 jour le micrologiciel des imprimantes. Le processus doit \u00eatre mis en \u0153uvre pour tous les \u00e9quipements connect\u00e9s au r\u00e9seau informatique.<\/p>\n

Cependant, les chercheurs en s\u00e9curit\u00e9 soulignent qu\u2019il existe une multitude de vecteurs d\u2019attaque ciblant les \u00e9quipements sp\u00e9cialis\u00e9s. Il n\u2019y a donc aucune garantie que les pirates ne s\u2019armeront pas demain d\u2019un exploit similaire m\u00e9connu des fabricants d\u2019imprimantes et de leurs clients. Voici quelques conseils pour minimiser le risque d\u2019exploitation\u00a0:<\/p>\n