PrintNightmare : comment la précipitation de chercheurs a armé des cybercriminels

cyberguerre.numerama.com
lecture 5 min
standard
Une course entre chercheurs a mené à la publication d'un tutoriel pour exploiter une faille... qui n'était pas encore corrigée. Cette vulnérabilité nommée PrintNightmare se trouve dans pratiquement toutes les versions de Windows.
La vulnérabilité PrintNightmare, le « cauchemar des impressions », agite le monde de la cybersécurité en ce début juillet. Cette vulnérabilité est ce qu'on appelle dans le jargon une RCE (Remote Code Execution), un type de faille qui permet d'exécuter du code sur un ordinateur à distance. Dans ce cas, elle permet de s'infiltrer sur un système d'entreprise et même sur l'Active Directory, sorte de tour de contrôle du réseau. Pour la lancer, il suffit d'obtenir un accès au réseau, par exemple en achetant des identifiants. La porte ouverte par PrintNightmare permettrait en bout de chaîne de dérober des documents ou encore de déployer des rançongiciels.

La vulnérabilité se situe dans Windows Print Spooler, ou spoolsv.exe, le service chargé du processus d'impression de documents, inclus dans pratiquement toutes les versions du système d'exploitation de Microsoft. Autrement dit, les cibles potentielles d'une attaque se comptent en centaines de millions.

Au 2 juin, trois jours après les premiers signes d'exploitation de PrintNightmare, Windows n'a pas encore pu déployer de patch correctif. En attendant, l'entreprise a donc publié une alerte détaillée, dans laquelle elle conseille aux utilisateurs soit de désactiver Windows Print Spooler, soit de désactiver le paramètre qui permet d'imprimer sans être directement connecté par un câble à la machine.

Bref : se protéger de l'exploitation de la faille n'est pas bien compliqué, mais engendre des difficultés d'utilisation. Surtout que Windows Print Spooler ne fait pas qu'organiser l'impression papier, c'est aussi lui qui prend en charge la conversion d'un document Word en format PDF ou OneNote par exemple.

Tout part d'une boulette

Dès le 29 juin, avant que la vulnérabilité ne commence à être exploitée, The Record Media s'était penché sur l'étrange apparition de PrintNightmare, due à … une erreur. Une équipe de trois chercheurs de l'entreprise chinoise Sangfor a publié une preuve de concept (i.e. une mise en pratique de…
Lire tout l'article