Mais maîtriser votre enthousiasme : pour
l’instant, le programme de primes de bogue pour les imprimantes n’est pour le
moment offert que sur invitation.
Les chercheurs peuvent obtenir jusqu’à 10 000 $
pour l’identification de failles de sécurité dans les imprimantes fabriquées
par HP avec ce premier programme de primes de bogue destiné spécifiquement aux
vulnérabilités des imprimantes, selon une annonce du géant de la technologie rendue publique mardi.
Les montants versés varieront selon la gravité
de la faille découverte, et HP pourra également décider de verser un paiement
« de bonne foi » pour le signalement d’une vulnérabilité que
l’entreprise a déjà identifiée auparavant. Security Week souligne que les chercheurs ont été invités à
concentrer leurs efforts sur les bogues au niveau du microprogramme.
Cette initiative de HP nous rappellque les
menaces à la sécurité vont au-delà des ordinateurs, et peuvent inclure tout
dispositif connecté à un réseau. En effet, les imprimantes connectées à
Internet peuvent constituer une grave responsabilité en matière de sécurité.
Les attaquants peuvent non seulement voler des données sensibles ou contraindre
les imprimantes à révéler
les mots de passe administrateur des utilisateurs, mais ils peuvent
également utiliser les appareils comme points de départ pour d’autres compromis
des réseaux. Les imprimantes peuvent également être regroupées dans des botnets, comme cela
s’est produit avec Mirai.
HP affirme son engagement à assurer le plus haut
niveau de sécurité des imprimantes afin de réduire le risque de telles menaces.
« Alors que nous naviguons dans un monde de cybermenaces de plus en plus
complexe, il est primordial que les leaders de l’industrie utilisent toutes les
ressources possibles pour fournir une sécurité fiable et résiliente à partir du
micrologiciel », selon Shivaun Albright, Chef technologique de la sécurité
de l’impression chez HP. Elle ajoute : « HP s’engage à concevoir les
imprimantes les plus sûres au monde. »
Dark Reading écrit que l’accent mis par HP sur la sécurité des
imprimantes est également dû au fait qu’en comparaison aux défauts des autres
appareils de l’Internet
des Objets (IoT) – les vulnérabilités des imprimantes ont généralement été
mises en veilleuse. « L’accent est mis sur les appareils connectés comme
les caméras Web ou les téléviseurs intelligents, qui sont très fiables pour
tout le monde, mais pas nécessairement pour les imprimantes», déclare M.
Albright. « Cela dit, les imprimantes sont peut-être l’appareil IoT le
plus utilisé par un individu. »
En outres, CNET cite Albright, soulignant que le programme de
chasse aux bogues a été lancé discrètement en mai dernier. Trente-quatre chercheurs
se sont inscrits à l’époque, et l’un d’entre eux a déjà reçu 10 000 $ pour
avoir déniché une grave faille dans les imprimantes HP. Le programme est sous
invitation uniquement, afin de simplifier la gestion des vulnérabilités
découvertes. HP vise à rendre le programme public dans le futur.
L’initiative est soutenue par la société de
crowdsourcing en sécurité Bugcrowd, qui assurera la gestion les déclarations et
les vérifications des vulnérabilités, ainsi que des chercheurs invités à se
joindre à l’initiative. HP a également cité le récent rapport de la société,
qui indique que les vulnérabilités totales de l’industrie de l’impression ont
augmenté de 21 % au cours de l’année précédente.
Les chercheurs qui ont été choisis pour
participer à l’initiative ont eu accès à distance à 15 imprimantes, qui sont
isolées dans les bureaux de HP. « Depuis leur ordinateur à la maison, ils
peuvent fouiller et fouiller dans ces machines pour trouver des vulnérabilités
cachées », précise CNET.