Sur cette page, vous trouverez des informations importantes concernant la sécurité Canon
Suite à une enquête, nous avons déterminé qu'aucun produit imageRUNNER, imageRUNNER ADVANCE ou i-SENSYS n'est concerné par cette vulnérabilité. Nous poursuivons notre enquête sur la gamme de produits Canon et nous mettrons à jour cet article dès que de plus amples informations seront disponibles.
L'Office fédéral de la sécurité des technologies de l'information (BSI) nous a informés que la mise en œuvre du réseau au sein du microMIND était vulnérable face à un certain nombre d'exploits. Ces vulnérabilités ont été découvertes par Jos Wetzels, Stanislav Dashevskyi, Amine Amri et Daniel dos Santos, des chercheurs de « Forescout technologies ».
Comme des milliers d'autres entreprises, le microMIND utilise la pile réseau open source uIP https://fr.wikipedia.org/wiki/UIP_(micro_IP), afin de mettre en réseau leurs logiciels/matériels. Les chercheurs ont découvert que, si elles étaient exploitées, ces vulnérabilités pouvaient entraîner une attaque par déni de service (DoS) qui mettrait le périphérique hors ligne ou lancerait l'exécution de code à distance (RCE) sur le microMIND. Pour remédier à ces vulnérabilités, NT-ware a publié un nouveau micrologiciel qui résout tous les problèmes signalés. Au moment de la rédaction de ce bulletin de sécurité, aucun exploit connu ne cible le microMIND.
Nom/lien de l'exploit : AMNESIA:33, https://www.forescout.com/amnesia33/
CVE résolues dans ce micrologiciel : CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437
CVE non liées à l'implémentation de la pile uIP par le microMIND : CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335
Micrologiciels uniFLOW microMIND concernés : version 2.0.9 et versions antérieures, ou livrées avant octobre 2020.
Atténuation/Action : si vous possédez un périphérique microMIND concerné, veuillez contacter votre représentant Canon pour organiser la mise à niveau du micrologiciel.
SCADAfence Ltd., une société de cybersécurité dont le siège social est en Israël, a attiré notre attention sur une vulnérabilité liée au protocole de la pile IP utilisée par un certain nombre de modèles d'imprimantes laser et multifonctions Canon pour petite entreprise. Consultez la documentation CVE-2020-16849 pour plus de détails.
Il existe un risque d'attaque par des tiers sur l'appareil lorsqu'il est connecté à un réseau permettant l'acquisition de fragments du « carnet d'adresses » et/ou du « mot de passe administrateur » via un réseau non sécurisé. Il convient de noter que lorsque le HTTPS est utilisé pour la communication de l'interface utilisateur à distance, les données sont sécurisées par chiffrement.
À l'heure actuelle, aucun cas d'exploitation de ces vulnérabilités entraînant des dommages n'a été confirmé. Toutefois, afin de garantir que nos clients puissent utiliser nos produits en toute sécurité, de nouveaux micrologiciels seront disponibles pour les produits suivants :
Série i-SENSYS MF
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW
Série i-SENSYS LBP
LBP113W
LBP151DW
LBP162DW
Série imageRUNNER
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF
Veuillez consulter le manuel de l'utilisateur pour savoir comment mettre à jour le micrologiciel.
Nous recommandons d'utiliser une adresse IP privée pour les produits et d'utiliser des contrôles de paramètres réseau tels que l'utilisation d'un pare-feu ou d'un routeur Wi-Fi qui peuvent restreindre l'accès au réseau. La section « Security for Products Connected to a Network » (Sécurité des produits connectés à un réseau), plus bas sur cette page, donne des indications supplémentaires.
Après enquête sur la vulnérabilité « Ripple20 », aucun problème n'a été identifié avec les imprimantes Canon.
Bien que le mot de passe de fonction sans fil de Canon soit conforme à la norme WPA actuelle, nous savons que la sécurité assurée par les mots de passe numériques à huit caractères n'est pas considérée comme étant aussi forte qu'elle l'était auparavant. Dans cette optique, nous recommandons de toujours connecter les équipements Canon au déploiement Wi-Fi de l'infrastructure dans les environnements où la sécurité sans fil est un problème, comme dans un lieu public. Nous prenons la sécurité au sérieux : nous mettons à jour les configurations de sécurité Wi-Fi sur nos produits pour vous aider à rester en sécurité et toute mise à jour sera publiée sur ces pages. Canon tient à remercier REDTEAM.PL d'avoir attiré notre attention sur la nature changeante de la sécurité des mots de passe et son impact sur le marché.
La plate-forme logicielle imageRUNNER ADVANCE version 3.8 et ultérieure a introduit le protocole Syslog (conforme aux normes RFC 5424, RFC 5425 et RFC 5426), une fonctionnalité de messagerie d'événements en temps quasi réel qui s'ajoute à la journalisation des dispositifs existants, augmentant ainsi la visibilité des événements liés aux appareils et à la sécurité des appareils. Cela s'appuie sur la capacité de journalisation des périphériques permettant la connexion à un serveur Syslog ou SIEM (Security information Event Management) existant. Le document « SIEM_spec » ci-dessous détaille les types de messages et les données de journal pouvant être générés.
Onze vulnérabilités, appelées « URGENT/11 » (CVE-2019-12255 à CVE-2019-12265), ont été identifiées dans le système d'exploitation VxWorks. Il a été constaté que la pile IPNet TCP/IP utilisée dans le système d'exploitation VxWorks a également été utilisée dans d'autres systèmes d'exploitation en temps réel, ce qui ouvre la possibilité aux vulnérabilités (CVE-2019-12255, CVE-2019-12262 et CVE-2019-12264) d'exister dans une plus large gamme de produits.
Un certain nombre de modèles européens hérités peuvent être vulnérables face à ce problème car ils ont été identifiés comme utilisant la pile TCP/IP IPnet concernée :
Merci d'utiliser les produits Canon.
Une équipe internationale de chercheurs en matière de sécurité a attiré notre attention sur une vulnérabilité liée aux communications via le Protocole de transfert d'image (PTP) utilisé par les appareils photo numériques Canon, ainsi que sur une autre vulnérabilité liée aux mises à jour des micrologiciels.
(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)
En raison de ces vulnérabilités, l'appareil photo encourt un risque d'attaque par un tiers s'il est connecté à un PC ou à un appareil mobile ayant été piraté par le biais d'un réseau non sécurisé.
À ce stade, il n'y a pas eu de cas confirmés d'exploitation dommageable de ces vulnérabilités, mais nous souhaitons vous informer des solutions suivantes pour contourner ce problème afin de garantir que nos clients puissent utiliser nos produits en toute sécurité.
On remarque une utilisation croissante de PC et appareils mobiles sur des réseaux non sécurisés (Wi-Fi gratuit) dont les clients ne connaissent pas le niveau de sécurité. En effet, de nombreux utilisateurs ont pris l'habitude de transférer des images d'un appareil photo vers un appareil mobile via une connexion Wi-Fi, et nous avons donc décidé d'implémenter des mises à jour des micrologiciels des modèles suivants équipés de la fonction Wi-Fi.
Ces vulnérabilités affectent les appareils photo suivants de la série EOS (reflex numériques et hybrides) :
EOS-1DC*1 *2 | EOS 6D Mark II | EOS 760D | EOS M6 Mark II | PowerShot SX740 HS |
EOS-1DX*1 *2 | EOS 7D Mark II*1 | EOS 800D | EOS M10 | |
EOS-1DX MK II*1 *2 | EOS 70D | EOS 1300D | EOS M50 | |
EOS 5D Mark III*1 | EOS 77D | EOS 2000D | EOS M100 | |
EOS 5D Mark IV | EOS 80D | EOS 4000D | EOS R | |
EOS 5DS*1 | EOS 200D | EOS M3 | EOS RP | |
EOS 5DS R*1 | EOS 250D | EOS M5 | PowerShot G5X Mark II | |
EOS 6D | EOS 750D | EOS M6 | PowerShot SX70 HS |
*1 Si vous utilisez un adaptateur Wi-Fi ou un transmetteur de fichiers sans fil, vous pouvez établir une connexion Wi-Fi.
*2 Les connexions Ethernet sont également affectées par ces vulnérabilités.
Des informations sur les mises à jour des micrologiciels seront fournies individuellement pour chaque produit, en commençant par les produits pour lesquels des préparations ont déjà été effectuées.
Récemment, des chercheurs ont signalé des vulnérabilités détectées dans les protocoles de communication des fonctions de télécopie de certains produits. (CVE-ID : CVE-2018-5924, CVE 2018-5925). Pour en savoir plus sur l'impact de ces vulnérabilités sur les produits Canon équipés de fonctions de télécopie, lisez ce qui suit :
Selon notre examen, les produits suivants, qui n'emploient pas le protocole de télécopie G3 couleur exploité par ces vulnérabilités, ne sont pas concernés : modèles des séries imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP et imageCLASS/i-SENSYSéquipés de fonctions de télécopie.
Les produits des séries MAXIFY et PIXMA équipés de fonctions de télécopie emploient le protocole de télécopie G3 couleur. Toutefois, nous n'avons identifié aucun risque de code malveillant exécuté via le circuit de télécopie, ni aucun risque pour la sécurité des informations enregistrées sur ces périphériques.
Nous continuerons de surveiller cette situation et de prendre les mesures nécessaires pour assurer la sécurité de nos périphériques.
Deux variantes de ces vulnérabilités utilisant différentes techniques pour exploiter les fonctions d'exécution spéculative au sein des processeurs concernés ont été identifiées et nommées. Il s'agit de CVE-2017-5715, CVE-2017-5753 : « Spectre » et CVE-2017-5754 : « Meltdown ».
Les produits de contrôleurs externes de Canon suivants peuvent être concernés par ces vulnérabilités. Bien qu'il n'existe actuellement aucun moyen connu d'exploiter ces vulnérabilités, des correctifs sont en cours d'élaboration afin que les clients puissent continuer à utiliser nos produits sans inquiétude.
ColorPASS :
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1
imagePASS :
U1 v1.1, U1 v1.1.1, U2 v1.0
Y1 v1.0, Y2 v1.0
Serveur imagePRESS-CR :
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1
Serveur imagePRESS :
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0
F200 v1.21, H300 v1.0
J100 v1.21, J200 v1.21
K100 v1.0, K200 v1.0
Q2 v2.0, Z1 v1.0
Le service Canon suivant peut être concerné par ces vulnérabilités. Bien qu'il n'existe actuellement aucun moyen connu d'exploiter ces vulnérabilités, des correctifs ont été mis en place fin février 2018.
MDS Cloud
Toutes les imprimantes multifonctions laser Canon et imprimantes laser Canon ainsi que leurs produits logiciels associés, sauf ceux mentionnés ci-dessus, ne sont pas concernés par ces vulnérabilités par le biais de tout processus d'exploitation connu. Les clients peuvent continuer à utiliser nos produits en toute confiance.
Canon travaille constamment pour garantir que le plus haut niveau de sécurité est atteint dans tous nos produits et solutions. Nous prenons au sérieux la sécurité des informations de nos clients et leur protection est notre priorité absolue.
Un chercheur a récemment rendu public une vulnérabilité connue sous le nom de KRACK dans le protocole de cryptage LAN sans fil (Wi-Fi) standard WPA2. Cette vulnérabilité permet à un attaquant d'intercepter intentionnellement les transmissions sans fil entre le client (terminal équipé de la fonctionnalité Wi-Fi) et le point d'accès (routeur, etc.) pour effectuer des activités potentiellement malveillantes. C'est pourquoi cette vulnérabilité ne peut être exploitée par aucune personne située en dehors de la portée du signal Wi-Fi ou dans un emplacement distant et utilisant Internet en guise d'intermédiaire.
Nous devons encore confirmer si cette vulnérabilité a pu causer des problèmes aux utilisateurs de produits Canon. Cependant, pour que nos clients puissent continuer à utiliser nos produits en toute tranquillité, nous recommandons d'adopter les mesures de prévention suivantes :
•Utilisez un câble USB ou Ethernet pour connecter directement des appareils compatibles à un réseau
•Chiffrez la transmission des données des appareils en activant les paramètres de chiffrement (TLS/IPSec)
•Utilisez des supports physiques, comme des cartes SD, avec les appareils compatibles
•Utilisez des paramètres comme Wireless Direct et Direct Connect avec les appareils compatibles
Les procédures d'utilisation et les fonctionnalités proposées étant variables d'un appareil à l'autre, veuillez consulter le manuel de votre appareil pour en savoir plus. Nous vous recommandons également d'adopter des mesures appropriées pour des appareils tels que votre PC ou votre smartphone. Pour plus d'informations sur les mesures appropriées pour chaque appareil, contactez le fabricant de l'appareil.
De nombreux produits et leurs différentes fonctions peuvent être utilisés à distance via Internet ou un réseau local sans fil. Cependant, connecter des produits à un réseau les rend vulnérables à des problèmes de sécurité tels que les accès et utilisations par des tiers malveillants non autorisés.
Pour cette raison, afin de minimiser les risques de problèmes de sécurité, il est nécessaire d'appliquer les paramètres appropriés et d'utiliser vos produits dans un environnement sécurisé. Vous trouverez ci-dessous plusieurs mesures de sécurité qui permettront aux clients de continuer à utiliser leurs produits Canon en toute sécurité.
Mesures de sécurité à appliquer lors de l'utilisation de produits Canon
Lors de la première utilisation du produit
Lors de l'utilisation du produit
Lors de la mise au rebut du produit
Lors de la mise au rebut du produit, supprimez toutes les données et valeurs de consigne enregistrées sur le périphérique.
Mesures de sécurité applicables à certains produits Canon
Nous avons connaissance des articles de presse concernant les recherches de l'Union des universités Ruhr à propos des vulnérabilités éventuelles auxquelles sont confrontées les imprimantes réseau via le langage de programmation PostScript, largement utilisé dans l'ensemble de notre secteur. Aucun périphérique Canon n'a été testé dans le cadre de ces recherches.
Canon travaille constamment pour garantir le plus haut niveau de sécurité dans tous ses produits et solutions, y compris ses imprimantes réseau. Nous prenons au sérieux la sécurité des informations de nos clients et leur protection est notre priorité absolue. Notre Guide de durcissement MFD offre des explications et conseils sur les meilleurs paramètres de configuration pour assurer une mise en œuvre sécurisée.
Les mesures de sécurité qui s'appliquent à certains produits Canon et à leurs procédures de configuration sont décrites ci-dessous. Notez que ces informations sont uniquement disponibles en anglais.
Sécurité des informations ISO 27001
Canon accorde la plus grande importance à la sécurité des informations, protégeant la confidentialité, l'intégrité et la disponibilité des informations écrites, verbales et électroniques, afin de garantir les éléments suivants en tout temps :
La certification ISO 27001 démontre que Canon Europe a mis en place des systèmes pour protéger les données et les informations d'entreprise, que ce soit en ligne ou hors ligne. En appliquant l'ISO 27001, Canon Europe peut confirmer que ses processus de sécurité du développement à la livraison ont été évalués de manière externe et qu'ils ont été certifiés comme étant conformes à une norme internationalement reconnue par une partie tierce.
Canon Europe a obtenu pour son système de gestion de la sécurité des informations la certification ISO 27001, garantie de respect des normes mondiales. Elle couvre tous les aspects de la sécurité des informations (gestion des risques et des audits, sécurité des produits et gestion des incidents). |
Notre système de gestion de la sécurité des informations couvre les domaines suivants :
Si vous avez connaissance d'un problème de sécurité lié à un produit, un système ou un service Canon, nous aimerions le savoir.
Si vous pensez avoir découvert un problème de sécurité avec un produit Canon ou que vous souhaitez signaler un incident de sécurité, envoyez un e-mail à l'adresse suivante : product-security@canon-europe.com. Veuillez inclure un résumé détaillé du problème de sécurité, le nom exact du produit, la version du logiciel et la nature du problème. Veuillez également inclure une adresse e-mail et un numéro de téléphone afin que nous puissions vous contacter si nous avons besoin de plus d'informations.
L'équipe de sécurité des informations Canon s'engage à protéger les employés et clients de l'entreprise. Dans le cadre de cet engagement, nous encourageons nos chercheurs en sécurité à contribuer à la protection de Canon et de ses utilisateurs en signalant de manière proactive les vulnérabilités et failles relatives à la sécurité. Nous travaillons au quotidien pour entretenir et améliorer nos systèmes et processus, afin que nos clients et partenaires puissent communiquer et acheter en ligne en toute sécurité. Cependant, si vous rencontrez un problème lors de l'utilisation de l'un de nos systèmes, nous aimerions recevoir vos commentaires.
Les rapports de sécurité nous aident à assurer la sécurité et à protéger la vie privée de nos utilisateurs, en agissant en partenaire de confiance. Notre document relatif à cette politique détaille les exigences et mécanismes relatifs à la Politique de divulgation des vulnérabilités des systèmes informatiques Canon. L'objectif est de permettre aux chercheurs d'évaluer les systèmes informatiques Canon en vue de déceler toute faille de manière sûre et éthique, et d'envoyer un rapport à l'équipe de sécurité des informations Canon.
Veuillez noter que cette adresse e-mail est uniquement destinée à signaler des problèmes de sécurité et non des problèmes généraux. Consultez nos pages d'assistance afin d'obtenir de l'aide pour tout autre problème.
Nous prenons très au sérieux les problèmes de sécurité et nous réagirons rapidement pour résoudre les problèmes vérifiables. Cependant, certains de nos produits sont complexes et leur mise à jour prend du temps. Si nous sommes informés de problèmes légitimes, nous ferons de notre mieux pour accuser réception de votre e-mail, enquêter sur le problème et résoudre ce dernier dans les plus brefs délais.
Il a été porté à notre attention que plusieurs sites Web prétendent vendre des produits Canon avec des réductions de 90 %, voire plus. Ces sites Web sont conçus pour ressembler à la boutique Canon officielle. Nous pensons que ces sites ne sont pas légitimes et visent à semer la confusion et à tromper nos clients afin qu'ils partagent leurs informations personnelles et financières. Lors de leurs achats en ligne avec Canon et d'autres détaillants, nous conseillons à nos clients de faire preuve de vigilance.
Pour distinguer la boutique Canon officielle en ligne, toutes les boutiques Canon au niveau européen ont un nom de domaine similaire : https://store.canon.xx
Les caractères finaux varient en fonction de chaque pays. Par exemple : https://store.canon.fr et https://store.canon.co.uk.
Contactez-nous par e-mail ou en téléphonant au service d'assistance
Enregistrez votre produit et gérez votre compte Canon ID
Recherchez un centre de réparation et retrouvez d'autres informations utiles sur le processus de réparation