Des imprimantes HP menacées d'embrasement à cause d'un virus

"Si certains modèles sont équipés d'une sécurité faisant qu'au delà d'une certaine température ils se coupent, beaucoup d'imprimantes peuvent alors s'embraser."

Il manquerait pas quelque chose ?

et pas infectés?

Cette phrase ne veux pas dire grand chose .
Peut être faut-il ecrire
Si certains modèles sont équipés d'une sécurité faisant qu'au delà d'une certaine température ils se coupent, beaucoup d'autres imprimantes peuvent alors s'embraser.

edit : "grilled"

Je connais certaines secrétaires qui n'ont pas besoin d'un virus pour faire cramer l'imprimante :-)

Ce serait bien de rectifier le titre et de préciser que ca ne concerne que les imprimantes RESEAU, ca pourrait éviter une grosse psychose et eventuellement une plainte en diffamation de la part de HP ... L'avenir d'un journaleux voulant toujours faire plus croustillant, c'est pigiste chez 20 minutes. Un peu de rigueur journalistique, merci ...

Vos suggestions étaient justes. J'ai fait des corrections

Il faudrait prévenir votre informaticien. Parce que si le titre a bien été changé dans la partie magazine du site, c'est toujours "Les imprimantes HP menacées d'embrasement à cause d'un virus" qui apparaît dans la partie forum.

A quand un debuggage de Numerama, parce que les articles de Simon qui apparaissent avec les codes HTML dans la partie forum, ce n'est pas le top de la lisibilité.

lis l'article lié, ça concerne TOUTES les imprimantes à priori (même USB)

Sinon, les chercheurs poussent le bouchon un peu loin.
En gros, lorsqu'elle reçoit un fichier l'imprimante regarde si c'est un fichier à imprimer ou un patch donc à exécuter. Et les chercheurs utilisent cette possibilité pour envoyer le virus.

Ils disent donc : 'It's like selling a car without selling the keys to lock it,' Stolfo said. 'It's totally insecure.'

Sauf que les Laserjet, ça se vend depuis plus de 25 ans, c'est probablement la gamme d'imprimante la plus répandue au monde et que jamais ce virus n'a été constaté. Alors pour un truc complétement insecure, c'est quand même pas si mal.

Est-ce que quelqu'un a vu sur quelle génération de LJ ils ont fait leurs essais d'implémentation de virus ?

Avertissement : Toute ressemblance avec l'embrasement d'un certain modèle de téléphone est purement fortuite.

@zig : en quoi le fait que la faille n'ai pas été découverte avant empêche qu'on puisse dire qu'il est "complétement insecure".
Avec du code fermé, on peu coder les trucs les plus moisis et pas sécurisé sans que ça se voit tout de suite, le seul problème c'est qu'une fois que la faille est découverte le danger est réel ...

C'est l'un des inconvénients majeurs du code fermé, il n'y a pas de sécurité réelle, tout réside dans le fait que la vulnérabilité est "bien cachée". Seulement voilà, elle a beau être bien cachée, de temps en temps elle est découverte, et c'est le drame ...

@Zig : en voulant faire une analogie capilotractée, le sida a été présent chez l'humain pendant probablement plus de 70 ans avant sa découverte en 1981. C'est pas pour autant que cela n'a pas posé de problème par la suite...

Quel drame ?
Il y a également des vulnérabilités dans des codes open source (Firefox, PHP, MySQL) et elles sont corrigées. Tout comme celles qui sont corrigées dans le code fermé.

La sécurité, tout comme la qualité, c'est une notion d'équilibre et de prise de risque : on sait que produire un logiciel de qualité parfaite et de sécurité absolue est possible. Sauf que cela demande un temps de développement et de test prohibitif.
Donc on fait des compromis. Ces types-là ont découvert une faille (ou auraient découvert une faille sur certains modèles anciens - on a assez peu d'informations) : c'est sûr que c'est une faille, c'est sûr que c'est "insecure". Mais il ne faut pas tomber non plus dans l'exagération, ce n'est pas complètent insecure puisque justement, personne n'avait vu cette faille et qu'en plus, personne ne s'était amusé à imprimer un document avec ce genre de virus.

Se jeter d'un avion sans parachute, c'est complètement insecure. Se jeter d'un avion avec un parachute, c'est juste insecure.

C'est en effet assez capilotracté.
Il ne s'agit pas de documents dormants depuis des temps immémoriaux dans nos boîtes emails ou sur nos disques durs qui risquent de déclencher ces surchauffes, il s'agit de documents spécialement conçus pour ça et dont pour l'instant seule une équipe de chercheurs connaît le secret.

Question : tu en imprimes souvent des documents arrivés par emails et venant d'inconnus ?

Quant au SIDA, je voudrais connaître tes sources sur ces 70 ans. Parce que la littérature parle d'un premier cas recencé en 1959 (52 ans) et d'un premier cas détecté aux USA en 1969 (42 ans). Le mode de contamination par le SIDA étant bien entendu complètement différent de ce supposé virus.

Pas exactement avec la même réactivité : http://www.pcworld.f...crosoft/515051/
Tu connais des soft opensource qui ont une faille ouverte 10 mois après la publication de la faille toi ?

Alors là j'ai vraiment beaucoup ri ! Tu as eu la formation sécurité informatique par hadopi, où on t'apprend à utiliser le firewall open office ?
Tu as une idée de ce qu'est l'indécidabilité mathématique ?
Il se trouve que même dans un monde idéal ou on passerait un temps infini à développer en prenant le plus grand soin pour éviter les problèmes, on serait toujours incapable de s'assurer qu'un programme n'est pas malveillant (Fred Cohen 1986). Donc ta vision de la sécurité informatique a juste 30 ans de retard .

Mais dans ce cas là, on est à la limite de ce que peut être la sécurité, donc on ne pourrait pas dire que c'est très "insecure". Dans le cas d'HP on a juste une boite qui a codé son truc avec les pieds, qui ne vérifie aucunement que l'exécutable qu'on lui envoie est fiable avant de l'exécuter. Tant que personne n'essaye, tout va bien mais dès qu'on trouve la faille, c'est le drame. Et je réemploi cette expression parce que oui, avoir plusieurs million d'utilisateurs possédants une machine qui peut prendre feu si elle imprime un fichier corrompu, c'est effectivement grave !

Et si le site le la fnac ou de la sncf est piraté et que le mec inclu le code malveillant dans les pdf qui sont générés pour les billets électronique ?
Tu n'imprime jamais un fichier PDF récupéré sur un site web "de confiance" mais dont la sécurité n'est aucunement garantie (il suffit de voir les problèmes avec les donnée personnelles volées sur les serveurs des boites de jeux) ?

Dans ce cas autant eviter de publier ce torche-cul.

On ne nous a donc pas menti dans Die Hard 4 avec les pc qui peuvent faire exploser un appartement avec un virus !

T'exagère un peu là... Les PC ont un système électrique bien conçus, qui se sacrifiera si nécessaire pour sauver les composant (coup de foudre par exemple). àa dois être possible de provoquer un court circuit voir un feu, mais de là a avoir une explosion digne d'un pain de C4...
C'est aussi bidon que les voitures qui explosent!

Et maintenant passons à la partie Quiz!!
Quel personnage représente la figurine qui tombe de l'étagère pour aller enfoncer la touche Enter ? (Provoquant ainsi l’explosion du PC)

Quelles ont été les conséquences de cette faille absolument monstrueuse pour les utilisateurs de Windows qui utilisent IPv6 ?
Oui, dans PHP 5.x, des failles de 2010 qui ne sont que partiellement résolues.
(voir sur Secunia). Mais elles n'ont strictement aucune importance.

Tandis que celle énoncée par Cohen n'en a que 25

Il se trouve que 99% des programmes informatiques fonctionnent sans aucun problème réel de sécurité. Alors, bien entendu à partir de concepts imaginés en laboratoires dans des conditions extrêmement particulières, on peut imaginer ce que l'on veut.
Mais il n'en reste pas moins que les avions volent, les trains roulent, les banques se font les couilles en or, tu peux te connecter à Internet, ton salaire est viré tous les mois,... tout ça grâce à une informatique qui n'a pas de problèmes de sécurité. C'est juste le principe de réalité.

Bien que le propre de la sécurité, c'est d'imaginer toutes les hypothèses, il faut faire des bypass dans la vie parce que sinon tu n'avances pas. Là, on a un type qui sait comment fonctionne le virus, qui a envie de nuire, qui a les codes pour accéder au site de la sncf, qui en connaît l'architecture physique et logicielle, qui va pouvoir accéder aux codes sources (sur le serveur de production), qui va pouvoir modifier les exécutables. Dans le but de faire crâmer les imprimantes de personnes qui possèdent des HP Laserjet de certains modèles et qui ont demandé à imprimer un billet au lieu de se le faire livrer ou de le retirer à la borne.
Tout cela sans que la sncf ne s'en aperçoive bien entendu.

Lire des données n'est pas la même chose que d'aller implanter un programme malveillant sur un serveur.
Et puisque tu me pose la question personnellement, la plupart du temps, non je n'imprime pas les fichiers PDF.

Bon, je te propose un truc. Comme quasiment personne ne songe à patcher le microcode de ses imprimantes (en tout cas, je ne connais personne qui le fait), on va attendre 6 mois et on revient faire le point pour voir le nombre de cas de Laserjet qui ont pris feu. Ca te semble correct pour savoir si cette faille est ou non complètement insecure ?

Tu n'as compris mon analogie : je voulais dire que la SIDA était la faille présente depuis des années mais non découverte...
Sinon pour ta question des origines du sida : http://www.npr.org/t...storyId=5431256
Si tu cherches un peu sur google avec AIDS 1930 tu auras toutes les infos dont tu as besoin (j'avais dis 70 ans mais je n'avais pas renouvelé ma date car l'information date de 10 ans ce qui fait en fait 80 ans maintenant )

Coupure générale du réseau sur la résidence de l'école Centrale Paris pendant 4 heures en mars dernier, avec crash intempestif de toutes les machines sous windows connectées et ce dès le reboot ... Un joyeux bordel !

La sncf ? Tu veux plutôt dire son prestataire, une PME qui travaille la veille pour le lendemain en essayant de ne pas tout casser quand elle fait ses tests en prod ? (Et oui c'est ça l'informatique ...)

HP si ... Et comme tu installes un logiciel au moment de l'installation de ton imprimante, qui se met à jour régulièrement à jour sur internet, on peut imaginer qu'il patche le firmware des imprimantes. (d'ailleurs, si tu avais compris qqch à l'article que tu viens de lire, tu aurais vu que c'est justement en exploitant la fonctionnalité qui permet de patcher le firmware que le code malveillant s'installe sur l'imprimante ...)

pas toujours => http://ubuntuforums....ead.php?t=87565

Mais tout le monde sur ce forum connait ton coté très progressiste, mode : ne changons rien, nous vivons dans le meilleur des mondes (tu connais Leibniz?)

Je ne connaissais pas l'information, mais en regardant on s'aperçoit qu'il s'agit d'une méthode statistique qui donne la source du SIDA entre 1910 et 1950. C'est quand même assez flou, surtout qu'on ne sait pas bien s'il s'agit du virus chez l'homme ou chez le singe.

Ce qui semble plus certain, ce sont des échantillons de sang de 1959 dans lequel le virus a été découvert.

http://www.nytimes.c...study-says.html

Sources ?

des noms ?

Au moment de l'installation de l'imprimante, j'installe un driver sur ma machine. Ce driver ne patche pas le firmware de l'imprimante. Ce driver ne se met pas à jour régulièrement.
Il suffit en plus d'aller sur le site support de HP pour s'en rendre compte. Les patchs de firmware sont clairement signalés et distincts des mises à jours de drivers.

Tu peux imaginer tout ce que tu veux. Mais si tu nous parlais des faits au lieu de parler de ton imagination.

Oui. Je lis : "imprimer un document".

Manque de bol, ce n'est pas ça mon créneau. Mais c'est plutôt "occupons nous des vrais problèmes au lieu de s'amuser à se faire peur sur des trucs complètement inutiles et improbables".
Bravo, des mecs ont trouvé une faille dans le firmware des HP Laserjet (on ne sait d'ailleurs pas dans quels modèles). Et alors ? je suis très content pour eux, je suis très content qu'ils essayent de se faire mousser en déclarant que c'est un truc quasiment aussi grave que Tchernobyl parce qu'ils ont besoin de fric pour leur labo, mais objectivement c'est pas la fin du monde, tout le monde s'en fout et tout le monde a raison de s'en foutre.
D'autant plus que dans ces cas là, comme toujours, ce qu'il faut faire, c'est attendre que les résultats sont confirmés ou infirmés par d'autres.

Donc, je te le répète : on se donne rdv dans 6 mois et on voit ce que cela a donné.