dimanche, avril 28, 2024
Récents :
CybersecuritéReseauxSystèmes

Sécuriser ses copieurs, est-ce important ?

julien
stevepb – https://pixabay.com/fr/photos/imprimante-bureau-fax-scanner-790396/

En tant qu’Administrateur systèmes et réseaux j’ai connu de nombreux parcs informatiques.
Que ce soit dans en SSI ou directement dans les entreprises, les copieurs ne sont jamais sécurisés. Pourtant ils enferment d’importants secrets de la vie d’une entreprise et sont un point d’entrée très ouvert. Je m’explique.

Le technicien qui installe le photocopieur: J’ai terminé l’installation du copieur, il est désormais fonctionnel.

Wahou un nouveau copieur ! Et bien non ! D’accord il fonctionne mais le laissé comme ça pose énormément de problèmes. Détaillons quelques points.

Login

Le fameux login par défaut…admin/admin, administrateur/administrateur, admin/1234… et j’en passe. Publiquement affiché sur le site du constructeur ou encore sur des sites spécialisés, cela permet à n’importe qui d’en prendre le contrôle en tant qu’administrateur.

Il est très important de le modifier et surtout de ne pas mettre le mettre couple d’identifiant/mot de passe sur l’ensemble des copieurs. Vous pouvez utiliser un gestionnaire de mot de passe, cela vous facilitera grandement le quotidien.

De plus, cela permet notamment de supprimer une charge de support car les utilisateurs ne pourront pas modifier la configuration à leurs guises.

Port USB

Superbe fonctionnalité nous dira-t-on ! Mais là encore un souci de sécurité. Il faut prendre en considération que l’interaction du copieur avec un périphérique tiers peut permettre à n’importe qui d’exécuter une action volontaire ou non sur le copieur. Il est donc important de faire en sorte de désactiver cette fonction.

Récemment, une entreprise bien connu edu grand public s’est fait pirater grâce à une cigarette électronique !

Port Ethernet

Humm…on va la connecter sur le LAN et on va laisser la fonctionnalité hello et WSD. Euh…Oui mais non.
Bien entendu, vous pouvez mettre votre copieur sur le réseau, mais pas n’importe comment. Plusieurs solution s’offrent à vous, la plus simple à mettre en place est encore la mise en place d’un VLAN dédié à l’impression. De ce fait les domaines de broadcast sont réduits et le copieur ne polluera pas l’ensemble de votre LAN. Ensuite vous devrez mettre en place des restrictions d’accès. Qui peut imprimer ? Qui peut accéder à l’interface d’administration ? Qui peut scanner ? Comment sont envoyés les SCAN ? Impression directe par mail ? Autant de questions que vous devez vous poser afin de d’accroitre la sécurité.

Un autre point important, si le débranche le câble Ethernet et que je connecte mon pc dessus. Suis-je connecté sur le LAN de l’entreprise ? Si la réponse est oui, à quoi ai-je accès ? La encore une nouvelle question. Si l’on veut faire simple la réponse devrait être non. Nous ne devrions pas pouvoir prendre la place d’un équipement fixe pour pouvoir connecter un périphérique lambda derrière. Car n’importe quelle personne ayant un accès physique à son emplacement pourrait interagir avec le réseau s’y trouvant. Une simple recherche sur notre ami Google vous prouvera que de nombreux boitier sniffer permette de récupérer l’ensemble du traffic par exemple.

Il faut donc a minima penser à une chose, la segmentation !

Le scan

Le scan, un pas de plus vers la dématérialisation et l’archivage numérique. Mais une fois de plus, une fonctionnalité à sécuriser. Vous ne devez en aucun cas laisser la possibilité à n’importe qui de pouvoir scanner des documents et les envoyés que ce soit en interne ou en externe. Généralement 2 fonctionnalités sont disponibles et nous allons les détaillés.

Scan vers mail

Cette fonctionnalité vous permet simplement d’envoyer un élément scanner vers une adresse mail. En administration vous devez uniquement renseigner une adresse mail et un serveur pour l’expédition. Si vous n’avait pas laissé les identifiants par défaut, félicitations, ses informations sont presque confidentielles. Oui presque car une partie est publiquement visible mais cela fera le sujet d’un prochain article. Cependant attention, si votre copieur est en libre-service, n’importe qui peut envoyer un mail via l’adresse du copieur !

Scan vers dossier

Cette fonctionnalité vous permet d’envoyer un élément scanner vers un dossier. Par là on entend, dossier réseau sur un serveur ou sur un poste client, etc. Mais cette fonctionnalité peut être détournée pour envoyer d’autres types d’éléments que de simple PDF. Il faut donc, comme le scan vers mail, mettre en place un système d’authentification pour les copieurs en libre-service.

Hello et WDS

Une superbe fonctionnalité, pouvoir imprimer à sa guise depuis n’importe quels périphériques et pouvoir ajouter une imprimante depuis les emplacements réseaux. Si vous ne constater pas de problème dans cette phrase et bien…regardons de plus près. Dans l’administration système nous avons tendance à mettre en place un serveur dédié à l’impression. Celui-ci permet de centraliser le spouleur d’impression et de programmer de manière forcer ou libre de nombreux paramètres liés au copieur mais c’est sans compter sur ces 2 éléments. En effet, l’impression via hello ou wsd permet de s’affranchir de l’ensemble de ses règles. Il faut aussi savoir que ses éléments utilisent des notions de broadcast pour fonctionner, il va sans dire que niveau pollution si vous avez 1 copieur ça va, mais dans le cas d’une structure ayant plusieurs copieurs sur un même site cela comment à créer de nombreux ralentissements.

De mon point de vue, ces 2 éléments sont à bannir dans une infrastructure d’entreprise.

Le disque dur

Et bien oui, de nombreux copieurs intègrent un disque dur. Cela permet de mettre en cache vos documents pour effectuer son impression. Il va de soi que son contenue est précieux car il renferme une partie des données de votre entreprise. Vous devez donc faire en sorte qu’il ne soit pas accessible et procéder à sa destruction en cas de changement du copieur. De nombreuses solutions existent pour permettre la récupération des données sur un disque. Soyez vigilant.

Autres fonctionnalités

Ça correspond à quoi le reste ? Je n’ai pas le temps je regarderais plus tard.

Euh…non ! Si vous avez encore d’autres fonctionnalités que vous ne connaissez pas sur votre copieur et qu’elles ne sont pas utiles dans votre mode de fonctionnement, il faut les désactiver !
Si vous ne les connaissez pas, vous ne savez pas sur quels éléments elles peuvent interagir donc dans le doute, on désactive.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *