Vous avez installé au bureau une nouvelle imprimante 3D, plutôt impressionnante, et avez décidé d’y accéder à distance, car cela vous semble pratique, mais maintenant que faites-vous ?
Selon une alerte lancée par le SANS Internet Storm Center (ISC) à destination des 3 759 propriétaires utilisant un utilitaire de surveillance open source appelé OctoPrint, le problème résidait dans le fait de connecter l’imprimante 3D coûteuse à internet sans se soucier d’une authentification ennuyeuse.
C’est une mauvaise idée car il est très facile pour une personne mal intentionnée de repérer une imprimante connectée non sécurisée à l’aide de Shodan (un moteur de recherche pour les objets connectés à internet). En fait, l’ISC a été informé de ce problème par une personne qui avait justement suivi les conseils ci-dessus.
Le point positif avec OctoPrint est la facilité avec laquelle un propriétaire peut contrôler son imprimante 3D complexe, mais cela s’applique à tout autre utilisateur sur internet qui s’y connecte lorsque le contrôle d’accès est désactivé.
Dans cet état, un pirate pourrait voler la précieuse IP en téléchargeant les fichiers de travaux d’impression précédents au format G-code non chiffré ou, pire, essayer d’endommager l’imprimante en uploadant des fichiers d’impression spécialement conçus. Étant donné que la plupart des imprimantes 3D disposent d’une webcam intégrée pour le suivi des impressions, les hackers pourront même regarder leurs travaux d’impression malveillants à distance !
Une réponse des développeurs OctoPrint sur leur blog, suite à l’avertissement de l’ISC était plutôt stupéfiante :
OctoPrint est connecté à une imprimante, équipée de moteurs et d’appareils de chauffage. Si un hacker veut vraiment causer des dégâts, il le peut effectivement !
Le libre accès pourrait même être utilisé pour compromettre le firmware, a-t-il déclaré, mais le principal risque reste une “défaillance catastrophique”.
Une recherche sur Shodan a montré que les pires cybercriminels se trouvaient aux États-Unis, qui comptent 1 585 imprimantes, devant l’Allemagne (357), la France (303), le Royaume-Uni (211) et le Canada (162).
Cela concerne bien sûr uniquement OctoPrint, avec du coup la possibilité que les propriétaires utilisant un autre logiciel de surveillance d’imprimante 3D commettent la même erreur.
Quoi faire ?
Il s’agit d’un problème causé par une mauvaise configuration et non par le logiciel OctoPrint lui-même, qui met clairement en garde contre l’activation d’un accès distant sans un contrôle approprié. Tout propriétaire connectant son imprimante à internet sans cette précaution, l’a fait de manière délibérée.
Cependant, même avec cette fonctionnalité activée, tout le monde pourra avoir visualiser des données en lecture seule, ce que le propriétaire ne veut probablement pas autoriser. Pour éviter cela, les développeurs OctoPrint recommandent aux utilisateurs d’envisager un autre moyen pour accéder à distance, par exemple via un plugin comme OctoPrint Anywhere ou Polar Cloud, un VPN ou un proxy inverse Apache ou Nginx.
Billet inspiré de Thousands of unsecured 3D printers discovered online, sur Sophos nakedsecurity.