Depuis plusieurs jours, un problème de sécurité majeur affecte à nouveau Windows et plus particulièrement, le gestionnaire d’imprimante. Effectivement, le CERT (Centre d’alerte et de réaction aux attaques informatiques) a rendu publique une importante faille de sécurité au sein du gestionnaire des pilotes d’impression baptisée « PrintNightmare ». Cette dernière vient fragiliser la fiabilité et la stabilité des ordinateurs équipés du système d’exploitation de Microsoft®.

Expert en traçabilité depuis près de 15 ans, Talice met en lumière les détails de cette faille logicielle avant de vous apporter une solution de façon à vous protéger efficacement contre cette dernière.

 

Un gestionnaire d’imprimante particulièrement vulnérable

Fin juin, deux ingénieurs américains ont identifié une brèche de sécurité dans le service de gestion des pilotes d’imprimantes. Baptisée « PrintNightmare », elle autorise l’exécution de code arbitraire à distance par l’intermédiaire du spouleur d’impression (Windows Print Spooler). À juste titre, il s’agit d’un service en charge de gérer automatiquement une file d’attente d’impressions de documents.

En exploitant cette faille, le pirate informatique sera en mesure d’accéder – aisément et sans restriction – au programme d’installation d’un pilote d’imprimante. De ce fait, il pourra injecter toute sorte de code malveillant dans un pilote d’imprimante et forcer son installation sur l’ordinateur en question. Cette opération peut tout à fait être réalisée en simulant l’ajout d’une imprimante. Une fois le pilote installé, le cybercriminel se verra attribuer les droits SYSTEM du poste informatique.

De type « jour zéro », cette faille de sécurité concerne l’ensemble des versions de Microsoft® Windows encore maintenues, à savoir :

  • Windows 10 microsoft 32 / 64 bits,
  • Windows 8.1 32 / 64 bits,
  • Éditions 2008, 2012, 2016, 2019 et 20H2 de Windows Server,
  • Windows 7,
  • Windows RT 8.1,
  • Etc.

Par conséquent, ce sont des millions d’utilisateurs particuliers et professionnels qui sont impactés par ce problème de sécurité critique.

 

Le déploiement en urgence d’un patch correctif

Face à cet important problème de sécurité, Microsoft® a publié en urgence un correctif baptisé « KB5004945 ». Naturellement, la firme de Redmond invite tous ses utilisateurs à installer sans attendre la mise à jour via le service Windows Update.

Pour appliquer correctement ce patch, les experts Talice vous détaillent la marche à suivre ci-dessous :

  1. Accéder aux Paramètres de Windows,
  2. Aller à la section « Mise à jour et sécurité »,
  3. Effectuer une recherche en cliquant sur « Rechercher les mises à jour »,
  4. Sélectionner le correctif KB5004945 dans l’optique de le télécharger puis de l’installer sur votre ordinateur,
  5. Le patch s’installera automatiquement sur votre poste de travail. Un éventuel redémarrage du PC peut être nécessaire afin que la mise à jour soit effective.

 

Un problème en partie résolu

Cependant, l’application de ce correctif ne résout que partiellement le problème de sécurité selon Matthew Hickey et Will Dormann, chercheurs en sécurité. En effet, après des jours de recherche, ils en sont arrivés à la conclusion suivante : « le correctif empêche bien l’exécution de code malveillant à distance (RCE), mais l’élévation de privilèges (LPE) est toujours fonctionnelle ». Concrètement, cela signifie que le hacker a encore la possibilité d’acquérir les privilèges administrateur du poste informatique.

Pour cela, le cybercriminel emploierait l’illustre fonction Point and Print à condition que cette dernière soit activée. Cette fonctionnalité permettrait le paramétrage d’une imprimante sans avoir à télécharger ses fichiers de configuration. Une vérification complémentaire, en deux temps, s’impose pour être certain d’être protégé contre la faille PrintNightmare.

 

Contrôle de la base de registre

Premièrement, vous devez accéder à la base de registre qui contient les données de configuration de Windows ainsi que des autres logiciels installés sur l’ordinateur. Pour y accéder, vous êtes invité à suivre les étapes ci-dessous :

  1. Taper « regedit » dans la zone de recherche de la barre des tâches,
  2. Sélectionner Éditeur du Registre dans les résultats,
  3. Ensuite, vérifier dans l’éditeur la présence de la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint.

Si la clé n’est pas présente dans la base de registre, vous êtes en sécurité. Auquel cas, notre équipe vous invite à modifier les valeurs de deux sous-clés comme indiqué ci-après :

  • NoWarningNoElevationOnInstall = 0 (DWORD),
  • UpdatePromptSettings = 0 (DWORD).

 

Modification des paramètres d’ajout d’imprimantes

Ensuite, vous devez impérativement configurer la fonction Pointer & Imprimer (Point and Print) en désactivant l’affichage d’un avertissement de sécurité ou de l’invité d’élévation. Dans l’optique d’effectuer ce paramétrage, il vous suffit de respecter les étapes décrites ci-dessous :

  1. Aller à la section Configuration de l’ordinateur > Modèles d’administration > Imprimantes > Restrictions Pointer et imprimer,
  2. Sélectionner l’option « Ne pas afficher l’avertissement ou l’invite d’élévation » en dessous de l’intitulé « Lors de l’installation des pilotes pour une nouvelle connexion »,
  3. Choisir également le statut « Non configuré » ou « Désactivé » au sujet des restrictions Pointer et imprimer.

En procédant ainsi, vous interdisez l’accès à votre ordinateur aux pirates informatiques. De plus, le chercheur en sécurité Matthew Hickey précise : « Nous conseillons toujours à nos clients de désactiver cette option partout là où cela n’est pas nécessaire jusqu’à ce qu’un correctif arrive et résolve ce problème de manière appropriée ».

D’éventuels conflits entre le patch et certains modèles d’imprimantes

Bien que la sécurité de votre ordinateur soit assurée, il subsisterait des difficultés pour se connecter aux imprimantes de la marque Zebra notamment. À en croire le magazine technologique The Verge, certains utilisateurs seraient dans l’impossibilité de lancer une impression après avoir installé le patch sur leur poste informatique.

Si vous êtes dans cette situation, vous pourrez communiquer à nouveau avec votre imprimante en effectuant une réinstallation de cette dernière en tant qu’administrateur. Si le problème persiste, les équipes Talice vous suggèrent de patienter quelques jours jusqu’à l’arrivée d’un nouveau patch.

À propos de Talice

Partenaire de vos solutions de mobilité et de traçabilité, Talice vous propose une palette de solutions professionnelles logicielles et matérielles destinées à optimiser vos processus industriels et logistiques. Plus précisément, nos services et équipements s’adaptent à vos besoins ainsi qu’à votre domaine professionnel.

L’accompagnement Talice commence systématiquement avec la définition de votre projet (problématiques métier, contraintes et impératifs) suivi d’une étude sur site. Par la suite, nos experts vous préconiseront une solution dimensionnée à votre activité. Cela inclut aussi bien le développement de logiciels spécifiques que la mise à disposition de matériels de dernière génération comme :

  • Terminaux portables / embarqués,
  • Lecteurs RFID filaires / sans-fil / à mémoire,
  • Scanners connectés / sans-fil,
  • Tablettes professionnelles,
  • Imprimantes badges / étiquettes,
  • Solutions Wireless,
  • Etc.

Bien évidemment, vos collaborateurs et opérateurs logistiques bénéficieront d’une formation assurée par notre équipe. De plus, Talice assure la maintenance des équipements mis à votre disposition : prise en charge rapide par nos équipes, envoi d’un équipement de remplacement, réparation et remplacement.

Donnez vie à vos projets en traçabilité en contactant les experts Talice, par téléphone, au 01 34 51 05 05 ou par l’intermédiaire du formulaire de contact en ligne.