imprimantes 3D : selon le SANS Internet Storm Center (ISC) qui répertorie les menaces récentes, des milliers d’entre elles exploitant l’utilitaire Open Source OctoPrint peuvent facilement être piratées.
Virus et failles échappent rarement au SANS Internet Storm Center (ISC), un site qui regroupe les observations et les analyses de milliers de chercheurs et experts en sécurité. L’ISC a récemment publié un rapport expliquant que les imprimantes 3D pouvaient présenter une sérieuse vulnérabilité lorsqu’elles utilisaient OctoPrint. Il s’agit d’une interface web pour le contrôle et la supervision des fonctions de l’imprimante.
Un utilitaire d’imprimantes 3D mal configuré
OctoPrint a l’avantage d’autoriser cette gestion à distance, ce qui a grandement contribué au succès de cette offre Open Source. Mais l’atout devient une faiblesse lorsque l’utilitaire est mal configuré. D’autant plus que le contrôle d’accès est désactivé par défaut et transforme les imprimantes 3D en objets connectés ouverts à tout public. Réputé pour pointer les webcams vulnérables sur toute la surface de la planète, le moteur de recherche Shodan n’a pas manqué de repérer les périphériques d’impression 3D sans protection. Il révèle d’ailleurs que les États-Unis sont les plus mauvais élèves devant l’Allemagne et la France.
Récupération de fichiers et destruction des imprimantes 3D
Pour l’ISC, les deux menaces les plus probables sont la récupération d’adresses IP assortie du piratage de fichiers d’impression au format G-Code, ce qui en soi constitue un sérieux problème de confidentialité, en particulier dans les bureaux d’études et autres ateliers de production, et la destruction pure et simple de l’imprimante. Sur ce dernier point, les concepteurs d’OctoPrint l’avouent, si un pirate malveillant voulait faire des dégâts, il n’aurait qu’à agir sur les paramètres du moteur ou sur ceux des ventilateurs des imprimantes 3D. Ironie, ce pirate pourrait même assister en direct au coup de grâce de l’opération via la webcam dont se servent les utilisateurs pour suivre en ligne l’avancement de l’impression.
OctoPrint n’est pas le seul utilitaire pris en défaut. Mal configuré, tout autre programme propriétaire de contrôle peut rendre publics sur Internet les accès aux imprimantes 3D. L’éditeur Open Source met d’ailleurs en garde contre l’autorisation d’accès sans contrôle. Mais même avec cette option activée, les données en lecture restent accessibles. Les développeurs d’OctoPrint recommandent donc aux utilisateurs d’envisager un autre moyen d’accès à distance, via leur propre plug-in, celui de Polar Cloud, ou en exploitant un VPN ou un reverse proxy Apache, Nginx ou HAProxy.