Sécurité des produits

Un potentiel problème de perte d'unicité d'une carte d'identité a été identifiée dans les lecteurs de cartes renommés par NT-ware (développés et fournis à l'origine par rf IDEAS) et a été publiée sous le CVE-2024-1578.

Bien que nous n'ayons reçu aucun rapport d'exploitation, nous vous recommandons de lire la mise en garde de sécurité.

Vous trouverez des informations détaillées sur la vulnérabilité, l'atténuation et la correction à l'adresse suivante :

Mise en garde de sécurité : plusieurs lecteurs de carte MiCard PLUS ont manqué des caractères

Un risque potentiel de compromission de l'enregistrement des appareils a été identifié dans uniFLOW Online et publié CVE-2024-1621.

Bien que nous n'ayons reçu aucun rapport d'exploitation, nous vous recommandons de lire la mise en garde de sécurité.

Vous trouverez des informations détaillées sur la vulnérabilité, l'atténuation et la correction à l'adresse suivante :

Mise en garde de sécurité : enregistrement des appareils susceptible d'être compromis

Une vulnérabilité en matière de débordement de mémoire tampon dans le processus de protocole WSD a été détectée pour certaines imprimantes multifonctions et imprimantes laser des petits bureaux.

Vous trouverez des informations détaillées sur la vulnérabilité, l'atténuation et la correction à l'adresse suivante :

CP2024-002 – Atténuation/correction de la vulnérabilité des imprimantes multifonctions et imprimantes laser des petits bureaux – Canon PSIRT.

Plusieurs vulnérabilités ont été identifiées pour certaines imprimantes multifonctions et imprimantes laser des petits bureaux.

Ces vulnérabilités suggèrent que si un produit est directement connecté à Internet, c'est-à-dire sans passer par un routeur (filaire ou Wi-Fi), un attaquant à distance non authentifié puisse exécuter un code arbitraire sur l'appareil. Il lui serait également possible d'infliger au produit une attaque par déni de service (DoS) via Internet.

<Débordement de mémoire tampon>
CVE-2023-6229
CVE-2023-6230
CVE-2023-6231
CVE-2023-6232
CVE-2023-6233
CVE-2023-6234
CVE-2024-0244

Pour l'heure, aucune exploitation de ces vulnérabilités n'a été signalée. Toutefois, pour renforcer la sécurité de leurs produits, nous conseillons à nos clients d'installer la dernière version du micrologiciel disponible pour les modèles concernés (indiqués ci-dessous). Nous recommandons également aux clients de définir une adresse IP privée pour leurs produits et de créer un environnement réseau doté d'un pare-feu ou d'un routeur Wi-Fi capable de restreindre l'accès au réseau.

Pour plus d'informations sur la protection des produits connectés à un réseau, consultez la page Sécurité des produits.

Nous poursuivrons notre travail sur le renforcement des mesures de sécurité pour vous permettre de continuer à utiliser les produits Canon en toute tranquillité. Si ces vulnérabilités venaient à être identifiées dans d'autres produits, nous mettrions à jour cet article.

Vérifiez les modèles concernés.

Rendez-vous sur la page Support pour obtenir des informations sur les micrologiciels, les logiciels et l'assistance produit.

Canon souhaite remercier les chercheuses et chercheurs suivants pour avoir identifié ces vulnérabilités :

• CVE-2023-6229 : Nguyen Quoc (Viet) travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-6230 : Anonymous travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-6231 : Team Viettel travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-6232 : ANHTUD travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-6233 : ANHTUD travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-6234 : Team Viettel travaillant avec Zero Day Initiative de Trend Micro
• CVE-2024-0244 : Connor Ford (@ByteInsight) de Nettitude travaillant avec Zero Day Initiative de Trend Micro

Vous trouverez des informations détaillées sur la vulnérabilité, l'atténuation et la correction à l'adresse suivante :

CP2023-003 Atténuation/correction de la vulnérabilité pour les imprimantes jet d'encre (maison et bureau/grand format) - Canon PSIRT

Description

Deux vulnérabilités ont été identifiées pour IJ Network Tool (ci-après, le Logiciel). Ces vulnérabilités suggèrent la possibilité qu'un pirate connecté au même réseau que l'imprimante puisse acquérir des informations sensibles sur la configuration de la connexion Wi-Fi de l'imprimante en utilisant le Logiciel ou en se référant à sa communication.

CVE/CVSS

CVE-2023-1763 : acquisition d'informations sensibles sur la configuration de la connexion Wi-Fi de l'imprimante à partir du Logiciel. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Score de base : 6,5.

CVE-2023-1764 : acquisition d'informations sensibles sur la configuration de la connexion Wi-Fi de l'imprimante à partir de la communication du Logiciel. CVSS v3 CVSS: 3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N Score de base : 6,5.

Produits concernés

Les modèles suivants sont concernés par la vulnérabilité CVE-2023-1763 : 

Outil réseau Mac : 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Serveur d'impression sans fil WP-20

Outil réseau Windows : 

Non applicable

Les modèles suivants sont concernés par la vulnérabilité CVE-2023-1764 : 

Outil réseau Mac : 

MAXIFY iB4040, MAXIFY iB4050, MAXIFY iB4140, MAXIFY iB4150

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2140, MAXIFY MB2150, MAXIFY MB2155, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB2740, MAXIFY MB2750, MAXIFY MB2755, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5140, MAXIFY MB5150, MAXIFY MB5155, MAXIFY MB5340, MAXIFY MB5350, MAXIFY MB5440, MAXIFY MB5450, MAXIFY MB5455

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Serveur d'impression sans fil WP-20

Outil réseau Windows : 

MAXIFY iB4040, MAXIFY iB4050

MAXIFY MB2040, MAXIFY MB2050, MAXIFY MB2340, MAXIFY MB2350, MAXIFY MB5040, MAXIFY MB5050, MAXIFY MB5340, MAXIFY MB5350

PIXMA E464, PIXMA E484

PIXMA G3400, PIXMA G3500, PIXMA G3501

PIXMA iP110, PIXMA iP5200R, PIXMA iP7240, PIXMA iP7250, PIXMA iP8740, PIXMA iP8750

PIXMA iX6840, PIXMA iX6850, PIXMA iX7000

PIXMA MG2940, PIXMA MG2950, PIXMA MG3140, PIXMA MG3150, PIXMA MG3240, PIXMA MG3250, PIXMA MG3500, PIXMA MG3540, PIXMA MG3550, PIXMA MG3640, PIXMA MG3650, PIXMA MG4140, PIXMA MG4150, PIXMA MG4240, PIXMA MG4250, PIXMA MG5240, PIXMA MG5250, PIXMA MG5340, PIXMA MG5350, PIXMA MG5440, PIXMA MG5450, PIXMA MG5540, PIXMA MG5550, PIXMA MG5640, PIXMA MG5650, PIXMA MG5740, PIXMA MG5750, PIXMA MG6140, PIXMA MG6150, PIXMA MG6240, PIXMA MG6250, PIXMA MG6340, PIXMA MG6350, PIXMA MG6440, PIXMA MG6450, PIXMA MG6640, PIXMA MG6650, PIXMA MG6840, PIXMA MG6850, PIXMA MG6851, PIXMA MG6852, PIXMA MG6853, PIXMA MG7140, PIXMA MG7150, PIXMA MG7540, PIXMA MG7550, PIXMA MG7740, PIXMA MG7750, PIXMA MG7751, PIXMA MG7752, PIXMA MG7753, PIXMA MG8140, PIXMA MG8150, PIXMA MG8240, PIXMA MG8250

PIXMA MP495, PIXMA MP560, PIXMA MP600R, PIXMA MP620, PIXMA MP640, PIXMA MP800R, PIXMA MP970, PIXMA MP980, PIXMA MP990

PIXMA MX340, PIXMA MX350, PIXMA MX410, PIXMA MX420, PIXMA MX434, PIXMA MX435, PIXMA MX454, PIXMA MX455, PIXMA MX474, PIXMA MX475, PIXMA MX494, PIXMA MX495, PIXMA MX514, PIXMA MX515, PIXMA MX524, PIXMA MX525, PIXMA MX534, PIXMA MX535, PIXMA MX700, PIXMA MX714, PIXMA MX715, PIXMA MX725, PIXMA MX7600, PIXMA MX850, PIXMA MX860, PIXMA MX870, PIXMA MX884, PIXMA MX885, PIXMA MX894, PIXMA MX895, PIXMA MX924, PIXMA MX925

PIXMA PRO-1, PIXMA PRO-10, PIXMA PRO-100, PIXMA PRO-100S, PIXMA PRO-10S

Serveur d'impression sans fil WP-20

Versions concernées

Les versions suivantes sont concernées par la vulnérabilité CVE-2023-1763 : 

Outil réseau Mac : 

Ver.4.7.5 et antérieures (systèmes d'exploitation pris en charge : OS X 10.9.5-macOS 13) 

Ver.4.7.3 et antérieures (systèmes d'exploitation pris en charge : OS X 10.7.5-OS X 10.8)

Outil réseau Windows : 

Non applicable

Les versions suivantes sont concernées par la vulnérabilité CVE-2023-1764 : 

Outil réseau Mac : 

Ver.4.7.5 et antérieures (systèmes d'exploitation pris en charge : OS X 10.9.5-macOS 13) 

Ver.4.7.3 et antérieures (systèmes d'exploitation pris en charge : OS X 10.7.5-OS X 10.8)

Outil réseau Windows : 

Ver.3.7.0

Atténuation/correction

Pour CVE-2023-1763 : 

La solution de contournement pour cette vulnérabilité consiste à utiliser des imprimantes avec une connexion réseau approuvée. Veuillez vous reporter ici à la section « Sécurité pour la connexion d'un produit à un réseau ». 

En outre, pour Mac Network Tool, veuillez télécharger les versions mises à jour du Logiciel publiées. 

Pour savoir comment mettre à jour le logiciel des imprimantes jet d'encre MAXIFY et PIXMA vers la version 4.7.6 (systèmes d'exploitation pris en charge : OS X 10.9.5-MacOS 13) ou vers la version 4.7.4 (systèmes d'exploitation pris en charge : OS X 10.7.5-OS X 10.8), rendez-vous sur la page de téléchargement du logiciel Assistance produit grand public et sélectionnez votre modèle, puis l'onglet logiciel et sélectionnez IJ Network Tool ou Wi-Fi Connexion Assistant.

Pour CVE-2023-1764 : 

La solution de contournement pour cette vulnérabilité consiste à utiliser des imprimantes avec une connexion réseau approuvée. Veuillez vous reporter ici à la section « Sécurité pour la connexion d'un produit à un réseau ».

Crédits

Canon souhaite remercier le Centre national de cybersécurité des Pays-Bas pour avoir signalé ces vulnérabilités.

Plusieurs vulnérabilités ont été identifiées pour certaines imprimantes multifonctions, laser et jet d'encre pour bureaux/petites entreprises.

Ces vulnérabilités suggèrent que si un produit est directement connecté à Internet, c'est-à-dire sans passer par un routeur (filaire ou Wi-Fi), un attaquant à distance non authentifié puisse exécuter un code arbitraire sur l'appareil. Il lui serait également possible d'infliger au produit une attaque par déni de service (DoS) via Internet. En outre, un pirate informatique pourrait installer des fichiers arbitraires en raison d'une authentification incorrecte de l'interface utilisateur à distance.

<Débordement de mémoire tampon>
CVE-2023-0851
CVE-2023-0852
CVE-2023-0853
CVE-2023-0854
CVE-2023-0855
CVE-2023-0856
CVE-2022-43974

<Problèmes lors de l'enregistrement initial des administrateurs système dans les protocoles de contrôle>
CVE-2023-0857

<Authentification incorrecte de l'interface utilisateur à distance>
CVE-2023-0858

<Installation de fichiers arbitraires>
CVE-2023-0859

Pour l'heure, aucune exploitation de ces vulnérabilités n'a été signalée. Toutefois, pour renforcer la sécurité de leurs produits, nous conseillons à nos clients d'installer la dernière version du micrologiciel disponible pour les modèles concernés (indiqués ci-dessous). Nous recommandons également aux clients de définir une adresse IP privée pour leurs produits et de créer un environnement réseau doté d'un pare-feu ou d'un routeur Wi-Fi capable de restreindre l'accès au réseau.

Pour plus d'informations sur la protection des produits connectés à un réseau, consultez la page Sécurité des produits.

Nous poursuivrons notre travail sur le renforcement des mesures de sécurité pour vous permettre de continuer à utiliser les produits Canon en toute tranquillité. Si ces vulnérabilités venaient à être identifiées dans d'autres produits, nous mettrions à jour cet article.

Vérifiez les modèles concernés.

Rendez-vous sur la page Support pour obtenir des informations sur les micrologiciels, les logiciels et l'assistance produit.

Pour connaître la procédure de mise à jour du micrologiciel des imprimantes jet d'encre MAXIFY, PIXMA et imagePROGRAF, reportez-vous au Manuel en ligne.

Canon souhaite remercier les chercheuses et chercheurs suivants pour avoir identifié ces vulnérabilités :

• CVE-2023-0851 : Namnp, Le Tran Hai Tung, ANHTUD travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-0852 : R-SEC, Nettitude travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-0853 : DEVCORE travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-0854 : DEVCORE travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-0855 : Chi Tran travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-0856 : Team Viettel travaillant avec Zero Day Initiative de Trend Micro
• CVE-2023-0857 : Alex Rubin et Martin Rakhmanov
• CVE-2023-0858 : Alex Rubin et Martin Rakhmanov
• CVE-2023-0859 : Alex Rubin et Martin Rakhmanov

Une vulnérabilité d'exposition potentielle des données a été identifiée dans le serveur uniFLOW et le serveur d'impression à distance uniFLOW.

Bien que nous n'ayons reçu aucun rapport d'exploitation, nous vous recommandons de mettre à niveau le micrologiciel vers la dernière version.

Vous trouverez des informations détaillées sur la vulnérabilité, l'atténuation et la correction à l'adresse suivante :

Mise en garde de sécurité : vulnérabilité du support technique MOM - Support NT-ware

Plusieurs cas de vulnérabilités en matière de débordement de mémoire tampon ont été identifiés avec les imprimantes laser et les imprimantes multifonctions pour petits bureaux Canon.

Bien que nous n'ayons reçu aucun rapport d'exploitation, nous vous recommandons de mettre à niveau le micrologiciel de votre appareil vers la dernière version.

Cette vulnérabilité peut amener un tiers sur Internet à exécuter un code arbitraire ou entraîner une attaque par déni de service (DoS) sur un produit, s'il est connecté directement à Internet sans utiliser de routeur filaire ou Wi-Fi.

Nous vous déconseillons de vous connecter directement à Internet. Veuillez utiliser une adresse IP privée sur un réseau privé sécurisé configuré via un pare-feu ou un routeur filaire/Wi-Fi. Veuillez consulter www.canon-europe.com/support/product-security pour en savoir plus sur la sécurité des produits connectés à un réseau.

Nous poursuivrons notre travail sur le renforcement des mesures de sécurité pour vous permettre de continuer à utiliser les produits Canon en toute tranquillité. Si la vulnérabilité est identifiée dans d'autres produits, nous mettrons à jour cet article.

Vérifiez les modèles concernés.

Rendez-vous sur la page de Support pour obtenir des informations sur les micrologiciels, les logiciels et l'assistance produit.

Canon souhaite remercier le chercheur suivant pour avoir identifié cette vulnérabilité.

• CVE-2022-43608 : Angelboy (@scwuaptx) de l'équipe de recherche DEVCORE travaillant avec Zero Day Initiative de Trend Micro

Plusieurs cas de vulnérabilités en matière de débordement de mémoire tampon ont été identifiés avec les imprimantes laser et les imprimantes multifonctions pour petits bureaux Canon. Les CVE connexes sont les suivantes : CVE-2022-24672, CVE-2022-24673 et CVE-2022-24674. Une liste des modèles concernés est fournie ci-dessous.

Bien que nous n'ayons reçu aucun rapport d'exploitation, veuillez mettre à niveau le micrologiciel de l'appareil vers la dernière version.

Cette vulnérabilité peut amener un tiers sur Internet à exécuter un code arbitraire ou entraîner une attaque par déni de service (DoS) sur un produit, s'il est connecté directement à Internet sans utiliser de routeur filaire ou Wi-Fi.

Nous vous déconseillons de vous connecter directement à Internet. Veuillez utiliser une adresse IP privée sur un réseau privé sécurisé configuré via un pare-feu ou un routeur filaire/Wi-Fi. Veuillez consulter www.canon-europe.com/support/product-security pour en savoir plus sur la sécurité des produits connectés à un réseau.

Nous poursuivrons notre travail sur le renforcement des mesures de sécurité pour vous permettre de continuer à utiliser les produits Canon en toute tranquillité. Si des vulnérabilités sont identifiées dans d'autres produits, nous mettrons immédiatement à jour cet article.

Les imprimantes laser et multifonctions pour petits bureaux, qui nécessitent ce correctif :

ImageRUNNER 1133, 1133A, 1133iF3
ImageRUNNER 1435, 1435i, 1435iF, 1435P
imageRUNNER 1643i II, 1643iF II
imageRUNNER 1643i, 1643iF
imageRUNNER C1225, C1225iF
ImageRUNNER C1325iF, C1335iF, C1335iFC
imageRUNNER C3025, C3025i
imageRUNNER C3125i
i-SENSYS LBP214dw, LBP215x
i-SENSYS LBP223dw, LBP226dw, LBP228x
i-SENSYS LBP233dw, LBP236dw
i-SENSYS LBP251dw, LBP252dw, LBP253x
i-SENSYS LBP611Cn, LBP613Cdw
i-SENSYS LBP621Cw, LBP623Cdw
i-SENSYS LBP631Cw, LBP633Cdw
i-SENSYS LBP653Cdw, LBP654x
i-SENSYS LBP663Cdw, LBP644Cx
i-SENSYS MF411dw, MF416dw, MF418x, MF419x
i-SENSYS MF421dw, MF426dw, MF428x, MF429x
i-SENSYS MF443dw MF445dw, MF446x, MF449x
i-SENSYS MF453dw, MF455dw
i-SENSYS MF512x, MF515x
i-SENSYS MF542x, MF543x
i-SENSYS MF552dw, MF553dw
i-SENSYS MF6140dn, MF6180dw
i-SENSYS MF623Cn, MF628Cw
i-SENSYS MF631Cn, MF633Cdw, MF635Cx
i-SENSYS MF641Cw, MF643Cdw, MF645Cx
i-SENSYS MF651Cw, MF655Cdw, MF657Cdw
i-SENSYS MF724Cdw, MF728Cdw, MF729Cx
i-SENSYS MF732Cdw, MF734Cdw, MF735Cx
i-SENSYS MF742Cdw, MF 744Cdw, MF746Cx
i-SENSYS MF8230Cn, MF8230Cw
i-SENSYS MF8540Cdn, MF8550Cdn, MF8580Cdw
i-SENSYS X 1238i II, 1238iF II
i-SENSYS X 1238i, 1238iF
i-SENSYS X 1238Pr II, 1238P II
i-SENSYS X 1238Pr, 1238P
i-SENSYS X C1127i, C1127iF
i-SENSYS X C1127P
WG7440, 7450, 7450F, 7450Z
WG7540, 7550, 7550F, 7550Z

Rendez-vous sur la page de Support pour obtenir des informations sur les micrologiciels, les logiciels et l'assistance produit.

CANON souhaite remercier les personnes suivantes pour avoir identifié cette vulnérabilité.

• CVE-2022-24672 : Mehdi Talbi (@abu_y0ussef), Remi Jullian (@netsecurity1), Thomas Jeunet (@cleptho), de @Synacktiv travaillant avec Zero Day Initiative de Trend Micro
• CVE-2022-24673 : Angelboy (@scwuaptx) de l'équipe de recherche DEVCORE travaillant avec Zero Day Initiative de Trend Micro
• CVE-2022-24674 : Nicolas Devillers (@nikaiw), Jean-Romain Garnier et Raphael Rigo (@_trou_) travaillant avec Zero Day Initiative de Trend Micro

Une application Spring MVC ou Spring WebFlux exécutée sur JDK 9+ peut être vulnérable à l'exécution de code à distance (RCE) via la liaison de données. Cette faille spécifique nécessite que l'application s'exécute sur Tomcat en tant que déploiement WAR. Si l'application est déployée en tant que fichier Jar exécutable dans Spring Boot, la valeur par défaut, elle n'est pas vulnérable à cette faille. Cependant, la nature de la vulnérabilité est plus générale et peut être exploitée de différentes autres façons. Le fichier de type malveillant peut générer quasiment tout type de faille : fuite de données ou de secrets, lancement d'autres logiciels tels que des ransomware, extraction de cryptomonnaies, introduction de portes d'accès dissimulées ou création d'un point d'encrage sur un réseau.

https://cpp.canon/products-technologies/security/latest-news/

L'objectif de cette page est de répertorier les produits Canon Production Printing (CPP) susceptibles d'être affectés par les rapports CVE suivants :

• CVE-2022-22947
• CVE-2022-22950
• CVE-2022-22963
• CVE-2022-22965

Le tableau ci-dessous indique l'état de vulnérabilité des produits matériels et logiciels Canon Production Printing répertoriés. Consultez-le régulièrement pour être informé de la mise à jour du statut.

Produits évalués et statuts

CTS : Systèmes toner et feuille à feuille / Presse jet d'encre feuille à feuille

Produits	Statut
Produits basés sur serveur d'impression PRISMAsync	Non concerné
Série varioPRINT 140	Non concerné
Série varioPrint 6000	Non concerné
Série varioPRINT i	Non concerné
Série varioPRINT iX	Non concerné
Station de commande de service (SCS) pour les séries VPi300 et VPiX	Non concerné
Tablette pour les séries VPi300 et VPiX	Non concerné
Simulateur PRISMAsync i300/iX	Non concerné
PRISMAprepare V6	Non concerné
PRISMAprepare V7	Non concerné
PRISMAprepare V8	Non concerné
PRISMAdirect V1	Non concerné
PRISMAprofier	Non concerné
PRISMA Cloud PRISMA Home PRISMAprepare Go PRISMAlytics Accounting	Non concerné

PPP – Produits d'impression de production

Produits	Statut
ColorStream 3×00 ColorStream 3x00Z	Non concerné
ColorStream 6000	Non concerné
ColorStream 8000	Non concerné
ProStream 1×00	Non concerné
Série LabelStream 4000	Non concerné
ImageStream	Non concerné
JetStream V1 JetStream V2	Non concerné
VarioStream 4000	Non concerné
Série VarioStream 7000	Non concerné
VarioStream 8000	Non concerné
PRISMAproduction Server V5	Non concerné
Hôte PRISMAproduction	Non concerné
PRISMAcontrol	Non concerné
PRISMAspool	Non concerné
PRISMAsimulate	Nouvelle version disponible*
TrueProof	Non concerné
DocSetter	Non concerné
DPconvert	Non concerné

* Veuillez contacter votre représentant de service Canon local

Graphiques grand format

Produits	Statut
Série Arizona	en cours d'analyse
Série Colorado	Non concerné
ONYX HUB	en cours d'analyse
ONYX Thrive	en cours d'analyse
ONYX ProductionHouse	en cours d'analyse

TDS - Systèmes de documents techniques

Produits	Statut
Série TDS	Non concerné
Série PlotWave	Non concerné
Série ColorWave	Non concerné
Scanner Professionnel	Non concerné
Driver Select, Driver Express, Publisher Mobile	Non concerné
Publisher Select	Non concerné
Account Console	Non concerné
Repro Desk	Non concerné

Outils de service et d'assistance

Produits	Statut
On Remote Service	Non concerné

Une vulnérabilité a été confirmée dans le processus de génération de clés RSA dans la bibliothèque cryptographique installée sur les imprimantes multifonctions, les imprimantes laser et les imprimantes jet d'encre des entreprises/petits bureaux de Canon. Vous trouverez ci-dessous la liste complète des produits concernés.

Cette vulnérabilité présente le risque que la clé privée pour la clé publique RSA puisse être estimée par quelqu'un, en raison de problèmes dans le processus de génération de la paire de clés RSA.
Si la paire de clés RSA utilisée pour TLS ou IPSec, est générée par une bibliothèque cryptographique présentant cette vulnérabilité, cette clé publique RSA peut être prise par un tiers ou même être falsifiée.

Nous n'avons reçu aucun rapport d'incident concernant cette vulnérabilité jusqu'à présent et les utilisateurs peuvent être sûrs que le micrologiciel des produits concernés est en cours de résolution.

Lorsque la paire de clés RSA a été créée par la bibliothèque cryptographique présentant cette vulnérabilité, des étapes supplémentaires sont nécessaires après la mise à jour du micrologiciel. En fonction du problème, reportez-vous aux étapes de vérification de la clé et à la démarche à suivre, décrites ci-dessous, pour prendre les bonnes mesures.

En outre, ne connectez pas les produits directement à Internet : utilisez un pare-feu, un environnement connecté par câble ou un environnement de réseau privé protégé si vous utilisez un routeur Wi-Fi. Définissez également une adresse IP privée.

Pour plus de détails, reportez-vous à la page de Sécurisation des produits lors de la connexion à un réseau.

Imprimantes multifonctions, imprimantes laser et imprimantes jet d'encre des entreprises/petits bureaux concernées par cette mesure.

imagePROGRAF TZ-30000
imagePROGRAF TX-4100/3100/2100
iPR C165/C170
IR 1643i II, IR 1643iF II
iR 2425
iR 2645/2635/2630
iR-ADV 4551/4545/4535/4525
iR-ADV 4551Ⅲ/4545 Ⅲ/4535 Ⅲ/4525 Ⅲ
iR-ADV 4725/4735/4745/4751
iR-ADV 527/617/717
iR-ADV 6000
iR-ADV 6575/6565/6560/6555
iR-ADV 6575Ⅲ/6565Ⅲ/6560Ⅲ
iR-ADV 6755/6765/6780
iR-ADV 6855/6860/6870
iR-ADV 715/615/525
iR-ADV 715Ⅲ/615Ⅲ/525Ⅲ
iR-ADV 8505/8595/8585
iR-ADV 8505Ⅲ/8595Ⅲ/8585Ⅲ
iR-ADV 8705/8705B/8795
iR-ADV C256Ⅲ/C356Ⅲ
iR-ADV C257/C357
iR-ADV C3530/C3520
iR-ADV C3530Ⅲ/C3520Ⅲ
iR-ADV C355/255
iR-ADV C356/256
iR-ADV C3730/C3720
iR-ADV C3830/C3826/C3835
iR-ADV C475Ⅲ
iR-ADV C477/C478
iR-ADV C5560/5550/5540/5535
iR-ADV C5560Ⅲ/5550Ⅲ/5540Ⅲ/5535Ⅲ
iR-ADV C5760/5750/5740/5735
iR-ADV C5870/C5860/C5850/C5840
iR-ADV C7580/C7570/C7565
iR-ADV C7580Ⅲ/C7570Ⅲ/C7565Ⅲ
iR-ADV C7780/C7770/C7765
iRC3226
i-SENSYS X 1238 II, i-SENSYS X 1238iF II
i-SENSYS X 1238P II, i-SENSYS X 1238Pr II
LBP233Dw, LBP236Dw
LBP631Cw, LBP633Cdw
MF 453dw, MF455dw
MF552dw, MF553dw
MF651dw, MF655Cdw, MF657Cdw
PRO-G1/PRO-300,PRO-S1/PRO-200
ImagePROGRAF GP-200/300/2000/4000
MAXIFY GX6040
MAXIFY GX6050
MAXIFY GX7040
MAXIFY GX7050
MF830Cx, MF832Cx, MF832Cdw, IR C1533, C1538
LBP720Cx/LBP722Cx/LBP722Ci/LBP722Cdw/C1533P/C1538P

Étapes de vérification et de résolution de la clé pour les imprimantes jet d'encre

Rendez-vous sur la page de Support pour obtenir des informations sur les micrologiciels, les logiciels et l'assistance produit.

Nous sommes actuellement en train d'étudier l'impact de la vulnérabilité « Log4j » sur les produits Canon. Au fur et à mesure de la découverte des informations, nous mettrons à jour cet article.

Le tableau ci-dessous indique l'état de vulnérabilité des produits matériels et logiciels répertoriés. Consultez l'article régulièrement.

Produit	État/relevé
Canon • imageRUNNER • imageRUNNER ADVANCE • imagePRESS • i-SENSYS • i-SENSYS X • imagePROGRAF • imageFORMULA	Ces appareils ne sont pas concernés.
Canon • imageWARE Management Console • imageWARE Enterprise Management Console • eMaintenance Optimiser • eMaintenance Universal Gateway • Canon Data Collection Agent • Remote Support Operator Kit • Content Delivery Service • Device Settings Configurator • Canon Reporting Service Online • OS400 Object Generator • CQue Driver • SQue Driver	Logiciels non concernés.
Canon Production Printing • Systèmes toner et feuille à feuille PRISMA • Impression continue • Graphiques grand format • Systèmes de documents techniques	https://cpp.canon/products-technologies/security/latest-news/
NT-ware • uniFLOW • uniFLOW Online • uniFLOW Online Express • uniFLOW sysHub • PRISMAsatellite	https://www.uniflow.global/en/security/security-and-maintenance/
Avantech • Scan2x • Scan2x Online	Déclaration Scan2x sur la vulnérabilité Log4J - scan2x
Cirrato • Cirrato One • Cirrato Embedded	Non concerné.
Compart • DocBridge Suite	Informations - Compart
Docspro • Import Controller • XML Importer • Email Importer • Knowledge Base • Universal Test Release • Advanced PDF Creator • Webservice Export Connector	Non concerné.
Docuform • Mercury Suite	Non concerné.
Doxsense • WES Pull Print 2.1 • WES Authentication 2.1	Non concerné.
EFI • Fiery	https://communities.efi.com/s/feed/0D55w00009ARpbxCAD?language=en_US
Genius Bytes • Genius MFP Canon Client	Vulnérabilité Zero Day Log4j - Genius Bytes Non concerné
IRIS • IRISXtract • IRISPowerscan • Readiris PDF 22 • Readiris 16 & 17 • Cardiris • IRISPulse	IRIS-Statement-Log4J_20141217.pdf (irisdatacapture.com)
Kantar • Discover Assessment Web Survey	Non concerné.
Kofax • PowerPDF • eCopy ShareScan • Robotic Process Automation • Kofax Communication Manager Solution	Produits Kofax et informations sur la vulnérabilité Apache Log4j2 - Kofax Non concerné. Jusqu'à ce que les correctifs ShareScan soient prêts, suivez les étapes de l'article ShareScan and Log4j vulnerability (CVE-2021-44228) de Kofax. Des correctifs sont disponibles. Consultez l'article Kofax RPA CVE-2021-44228 log4j Security Exploit Information. Des correctifs sont disponibles. Consultez l'article log4j vulnerability in Kofax Communications Manager.
Netaphor • SiteAudit	Exposition de vulnérabilité SiteAudit | Documentation Netaphor SiteAudit(TM)
Netikus • EventSentry	EventSentry est-il concerné par Log4Shell Log4j RCE CVE-2021-44228 | EventSentry
Newfield IT • Asset DB	Non concerné.
Objectif Lune • Connect	Les versions antérieures d'Objectif Lune Connect utilisaient le module log4j, mais il a été supprimé du logiciel avec la version d'Objectif Lune Connect 2018.1. Ainsi, tant que vous exécutez une version d'Objectif Lune Connect 2018.1 ou ultérieure, la vulnérabilité n'est pas présente.
OptimiDoc • OptimiDoc	OptimiDoc | Informations Log4j
Overall • Print In City	Non concerné.
PaperCut • PaperCut	Log4Shell (CVE-2021-44228) - Quel est l'impact sur PaperCut ? | PaperCut
Paper River • TotalCopy	Non concerné.
Ringdale • FollowMe Embedded	Non concerné.
Quadient • Inspire Suite	Informations Log4J pour les clients existants Quadient University
T5 Solutions • TG-PLOT/CAD-RIP	Non concerné.
Therefore • Therefore • Therefore Online	https://therefore.net/log4j-therefore-unaffected/
Westpole • Intelligent Print Management	Non concerné.

Une vulnérabilité de script intersites a été identifiée dans la fonction d'interface utilisateur distante des imprimantes laser et des périphériques multifonctions Canon pour les petites entreprises. Consultez les modèles concernés ci-dessous (numéro d'identification de la vulnérabilité : JVN n° 64806328).

Pour exploiter cette vulnérabilité, il est nécessaire que le pirate informatique soit en mode administrateur. Bien qu'aucune perte de données n'ait été signalée, nous vous conseillons d'installer la dernière version du micrologiciel pour renforcer la sécurité. Les mises à jour sont disponibles sur https://www.canon-europe.com/support/.

Nous vous recommandons également de définir une adresse IP privée et un environnement réseau garantissant que la connexion est établie via un pare-feu ou un routeur Wi-Fi pouvant restreindre l'accès au réseau. Pour plus d'informations sur les mesures de sécurité à prendre lors de la connexion d'appareils à un réseau, consultez la page https://www.canon-europe.com/support/product-security/.

Produits concernés :

iSENSYS

LBP162DW
LBP113W
LBP151DW<
MF269dw, MF267dw, MF264dw
MF113w
MF249dw, MF247dw, MF244dw, MF237w, MF232w
MF229dw, MF217w, MF212w
MF4780w, MF4890dw

imageRUNNER

2206IF
2204N, 2204F

Une vulnérabilité du spouleur d'impression Microsoft Windows a été découverte plus tôt cette année, appelée « PrintNightmare ». Cette vulnérabilité permet aux pirates informatiques de prendre le contrôle des systèmes Windows des utilisateurs sous certaines conditions.

Bien que cela puisse affecter les utilisateurs d'appareils Canon, il s'agit d'un défaut au sein du logiciel Microsoft plutôt que d'un problème avec les produits ou logiciels Canon. Plus précisément, le problème est lié à la fonctionnalité de spouleur d'impression installée sur chaque serveur Windows et bureau Windows.

Microsoft a annoncé la résolution de ces vulnérabilités dans la mise à jour de sécurité du 6 juillet de Microsoft, disponible via Windows Update ou en téléchargeant et en installant KB5004945. Microsoft recommande à vos équipes informatiques d'appliquer cette mise à jour immédiatement pour éviter les intrusions liées à ces vulnérabilités. Pour connaître toutes les informations de Microsoft à ce sujet, rendez-vous sur https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

En plus des conseils de Microsoft concernant l'installation des mises à jour, nous vous recommandons également de sécuriser votre système en confirmant que les paramètres de registre suivants sont définis sur 0 (zéro) ou ne sont pas définis (Remarque : ces clés de registre n'existent pas par défaut et sont donc déjà définies sur le paramètre sécurisé.). Vous devez également vérifier que vos paramètres de stratégie de groupe sont corrects :

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint
• NoWarningNoElevationOnInstall = 0 (DWORD) ou non défini (paramètre par défaut)
• UpdatePromptSettings = 0 (DWORD) ou non défini (paramètre par défaut)

La configuration de la clé de registre « NoWarningNoElevationOnInstall » sur 1 réduit la sécurité de votre système.

Nous conseillons à votre équipe informatique de continuer à surveiller le site de support Microsoft afin de vous assurer que tous les correctifs de système d'exploitation sous-jacents applicables sont appliqués.

Suite à une enquête, nous avons déterminé qu'aucun produit imageRUNNER, imageRUNNER ADVANCE ou i-SENSYS n'est concerné par cette vulnérabilité. Nous poursuivons notre enquête sur la gamme de produits Canon et nous mettrons à jour cet article dès que de plus amples informations seront disponibles.

L'Office fédéral de la sécurité des technologies de l'information (BSI) nous a informés que la mise en œuvre du réseau au sein du microMIND était vulnérable face à un certain nombre d'exploits. Ces vulnérabilités ont été découvertes par Jos Wetzels, Stanislav Dashevskyi, Amine Amri et Daniel dos Santos, des chercheurs de « Forescout technologies ».

Comme des milliers d'autres entreprises, le microMIND utilise la pile réseau open source uIP https://fr.wikipedia.org/wiki/UIP_(micro_IP), afin de mettre en réseau leurs logiciels/matériels. Les chercheurs ont découvert que, si elles étaient exploitées, ces vulnérabilités pouvaient entraîner une attaque par déni de service (DoS) qui mettrait le périphérique hors ligne ou lancerait l'exécution de code à distance (RCE) sur le microMIND. Pour remédier à ces vulnérabilités, NT-ware a publié un nouveau micrologiciel qui résout tous les problèmes signalés. Au moment de la rédaction de ce bulletin de sécurité, aucun exploit connu ne cible le microMIND.

Nom/lien de l'exploit : AMNESIA:33, https://www.forescout.com/amnesia33/

CVE résolues dans ce micrologiciel : CVE-2020-13988, CVE-2020-13987, CVE-2020-17438, CVE-2020-17437

CVE non liées à l'implémentation de la pile uIP par le microMIND : CVE-2020-17440, CVE-2020-17439, CVE-2020-24334, CVE-2020-24335

Micrologiciels uniFLOW microMIND concernés : version 2.0.9 et versions antérieures, ou livrées avant octobre 2020.

Atténuation/Action : si vous possédez un périphérique microMIND concerné, veuillez contacter votre représentant Canon pour organiser la mise à niveau du micrologiciel.

SCADAfence Ltd., une société de cybersécurité dont le siège social est en Israël, a attiré notre attention sur une vulnérabilité liée au protocole de la pile IP utilisée par un certain nombre de modèles d'imprimantes laser et multifonctions Canon pour petite entreprise. Consultez la documentation CVE-2020-16849 pour plus de détails.

Il existe un risque d'attaque par des tiers sur l'appareil lorsqu'il est connecté à un réseau permettant l'acquisition de fragments du « carnet d'adresses » et/ou du « mot de passe administrateur » via un réseau non sécurisé. Il convient de noter que lorsque le HTTPS est utilisé pour la communication de l'interface utilisateur à distance, les données sont sécurisées par chiffrement.

À l'heure actuelle, aucun cas d'exploitation de ces vulnérabilités entraînant des dommages n'a été confirmé. Toutefois, afin de garantir que nos clients puissent utiliser nos produits en toute sécurité, de nouveaux micrologiciels seront disponibles pour les produits suivants :

Série i-SENSYS MF
MF113W
MF212W/MF216N/MF217W
MF226DN/MF229DW
MF231/MF232W/MF237W
MF244DW/MF247DW/MF249DW
MF264DW/MF267DW/MF269DW
MF4570DN/MF4580DN
MF4780W
MF4870DN/MF4890DW

Série i-SENSYS LBP
LBP113W
LBP151DW
LBP162DW

Série imageRUNNER
IR2202N
IR2204N/IR2204F
IR2206N/IR2206IF

Veuillez consulter le manuel de l'utilisateur pour savoir comment mettre à jour le micrologiciel.
Nous recommandons d'utiliser une adresse IP privée pour les produits et d'utiliser des contrôles de paramètres réseau tels que l'utilisation d'un pare-feu ou d'un routeur Wi-Fi qui peuvent restreindre l'accès au réseau. La section « Security for Products Connected to a Network » (Sécurité des produits connectés à un réseau), plus bas sur cette page, donne des indications supplémentaires.

Après enquête sur la vulnérabilité « Ripple20 », aucun problème n'a été identifié avec les imprimantes Canon.

Bien que le mot de passe de fonction sans fil de Canon soit conforme à la norme WPA actuelle, nous savons que la sécurité assurée par les mots de passe numériques à huit caractères n'est pas considérée comme étant aussi forte qu'elle l'était auparavant. Dans cette optique, nous recommandons de toujours connecter les équipements Canon au déploiement Wi-Fi de l'infrastructure dans les environnements où la sécurité sans fil est un problème, comme dans un lieu public. Nous prenons la sécurité au sérieux : nous mettons à jour les configurations de sécurité Wi-Fi sur nos produits pour vous aider à rester en sécurité et toute mise à jour sera publiée sur ces pages. Canon tient à remercier REDTEAM.PL d'avoir attiré notre attention sur la nature changeante de la sécurité des mots de passe et son impact sur le marché.

La plate-forme logicielle imageRUNNER ADVANCE version 3.8 et ultérieure a introduit le protocole Syslog (conforme aux normes RFC 5424, RFC 5425 et RFC 5426), une fonctionnalité de messagerie d'événements en temps quasi réel qui s'ajoute à la journalisation des dispositifs existants, augmentant ainsi la visibilité des événements liés aux appareils et à la sécurité des appareils. Cela s'appuie sur la capacité de journalisation des périphériques permettant la connexion à un serveur Syslog ou SIEM (Security information Event Management) existant. Le document « SIEM_spec » ci-dessous détaille les types de messages et les données de journal pouvant être générés.

Onze vulnérabilités, appelées « URGENT/11 » (CVE-2019-12255 à CVE-2019-12265), ont été identifiées dans le système d'exploitation VxWorks. Il a été constaté que la pile IPNet TCP/IP utilisée dans le système d'exploitation VxWorks a également été utilisée dans d'autres systèmes d'exploitation en temps réel, ce qui ouvre la possibilité aux vulnérabilités (CVE-2019-12255, CVE-2019-12262 et CVE-2019-12264) d'exister dans une plus large gamme de produits.

Un certain nombre de modèles européens hérités peuvent être vulnérables face à ce problème car ils ont été identifiés comme utilisant la pile TCP/IP IPnet concernée :

• i-SENSYS MF4270
• i-SENSYS MF4370dn
• i-SENSYS MF4380dn
• imageRUNNER 2318
• imageRUNNER 2318L
• imageRUNNER 2320
• imageRUNNER 2420
• imageRUNNER 2422

Merci d'utiliser les produits Canon.

Une équipe internationale de chercheurs en matière de sécurité a attiré notre attention sur une vulnérabilité liée aux communications via le Protocole de transfert d'image (PTP) utilisé par les appareils photo numériques Canon, ainsi que sur une autre vulnérabilité liée aux mises à jour des micrologiciels.

(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001）

En raison de ces vulnérabilités, l'appareil photo encourt un risque d'attaque par un tiers s'il est connecté à un PC ou à un appareil mobile ayant été piraté par le biais d'un réseau non sécurisé.

À ce stade, il n'y a pas eu de cas confirmés d'exploitation dommageable de ces vulnérabilités, mais nous souhaitons vous informer des solutions suivantes pour contourner ce problème afin de garantir que nos clients puissent utiliser nos produits en toute sécurité.

• Assurez-vous que les paramètres de sécurité des périphériques connectés à l'appareil photo sont adaptés, notamment sur le PC, l'appareil mobile ou le routeur utilisés.
• Ne connectez pas l'appareil photo à un PC ou à un appareil mobile qui est lui-même connecté à un réseau non sécurisé, tel qu'un environnement Wi-Fi gratuit.
• Ne connectez pas l'appareil photo à un PC ou à un appareil mobile susceptible d'être exposé à un virus.
• Désactivez les fonctions réseau de l'appareil photo lorsque vous n'en avez pas usage.
• Téléchargez le micrologiciel officiel à partir du site Web de Canon lorsque vous effectuez une mise à jour du micrologiciel d'un appareil photo.

On remarque une utilisation croissante de PC et appareils mobiles sur des réseaux non sécurisés (Wi-Fi gratuit) dont les clients ne connaissent pas le niveau de sécurité. En effet, de nombreux utilisateurs ont pris l'habitude de transférer des images d'un appareil photo vers un appareil mobile via une connexion Wi-Fi, et nous avons donc décidé d'implémenter des mises à jour des micrologiciels des modèles suivants équipés de la fonction Wi-Fi.

Ces vulnérabilités affectent les appareils photo suivants de la série EOS (reflex numériques et hybrides) :

EOS-1DC*1 *2	EOS 6D Mark II	EOS 760D	EOS M6 Mark II	PowerShot SX740 HS
EOS-1DX*1 *2	EOS 7D Mark II*1	EOS 800D	EOS M10
EOS-1DX MK II*1 *2	EOS 70D	EOS 1300D	EOS M50
EOS 5D Mark III*1	EOS 77D	EOS 2000D	EOS M100
EOS 5D Mark IV	EOS 80D	EOS 4000D	EOS R
EOS 5DS*1	EOS 200D	EOS M3	EOS RP
EOS 5DS R*1	EOS 250D	EOS M5	PowerShot G5X Mark II
EOS 6D	EOS 750D	EOS M6	PowerShot SX70 HS

^*1 Si vous utilisez un adaptateur Wi-Fi ou un transmetteur de fichiers sans fil, vous pouvez établir une connexion Wi-Fi.

^*2 Les connexions Ethernet sont également affectées par ces vulnérabilités.

Des informations sur les mises à jour des micrologiciels seront fournies individuellement pour chaque produit, en commençant par les produits pour lesquels des préparations ont déjà été effectuées.

Veuillez trouver les instructions d'installation du correctif ici 

Nous nous engageons à fournir à nos clients des solutions sécurisées et nous nous excusons pour tout désagrément causé par cette situation. Si vous avez besoin de plus amples renseignements sur cette mise en garde, veuillez contacter votre bureau Canon local, votre revendeur agréé ou un représentant de l'assistance Canon. Si vous remarquez une activité suspecte, veuillez immédiatement signaler cette situation à votre gestionnaire de compte et à votre service informatique.

Récemment, des chercheurs ont signalé des vulnérabilités détectées dans les protocoles de communication des fonctions de télécopie de certains produits. (CVE-ID : CVE-2018-5924, CVE 2018-5925). Pour en savoir plus sur l'impact de ces vulnérabilités sur les produits Canon équipés de fonctions de télécopie, lisez ce qui suit :

Selon notre examen, les produits suivants, qui n'emploient pas le protocole de télécopie G3 couleur exploité par ces vulnérabilités, ne sont pas concernés : modèles des séries imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP et imageCLASS/i-SENSYSéquipés de fonctions de télécopie.

Les produits des séries MAXIFY et PIXMA équipés de fonctions de télécopie emploient le protocole de télécopie G3 couleur. Toutefois, nous n'avons identifié aucun risque de code malveillant exécuté via le circuit de télécopie, ni aucun risque pour la sécurité des informations enregistrées sur ces périphériques.

Nous continuerons de surveiller cette situation et de prendre les mesures nécessaires pour assurer la sécurité de nos périphériques.

Récemment, des vulnérabilités ont été rendues publiques concernant certains processeurs d'Intel, AMD et ARM utilisant l'exécution spéculative pour améliorer leurs performances. Ces vulnérabilités peuvent permettre à un attaquant d'obtenir un accès non autorisé aux zones de la mémoire cache privée.

Deux variantes de ces vulnérabilités utilisant différentes techniques pour exploiter les fonctions d'exécution spéculative au sein des processeurs concernés ont été identifiées et nommées. Il s'agit de CVE-2017-5715, CVE-2017-5753 : « Spectre » et CVE-2017-5754 : « Meltdown ».

Les produits de contrôleurs externes de Canon suivants peuvent être concernés par ces vulnérabilités. Bien qu'il n'existe actuellement aucun moyen connu d'exploiter ces vulnérabilités, des correctifs sont en cours d'élaboration afin que les clients puissent continuer à utiliser nos produits sans inquiétude.

ColorPASS : 
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1

imagePASS : 
U1 v1.1, U1 v1.1.1, U2 v1.0 
Y1 v1.0, Y2 v1.0

Serveur imagePRESS-CR : 
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1

Serveur imagePRESS : 
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0 
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0 
F200 v1.21, H300 v1.0 
J100 v1.21, J200 v1.21 
K100 v1.0, K200 v1.0 
Q2 v2.0, Z1 v1.0

Le service Canon suivant peut être concerné par ces vulnérabilités. Bien qu'il n'existe actuellement aucun moyen connu d'exploiter ces vulnérabilités, des correctifs ont été mis en place fin février 2018.

MDS Cloud

Toutes les imprimantes multifonctions laser Canon et imprimantes laser Canon ainsi que leurs produits logiciels associés, sauf ceux mentionnés ci-dessus, ne sont pas concernés par ces vulnérabilités par le biais de tout processus d'exploitation connu. Les clients peuvent continuer à utiliser nos produits en toute confiance.

Canon travaille constamment pour garantir que le plus haut niveau de sécurité est atteint dans tous nos produits et solutions. Nous prenons au sérieux la sécurité des informations de nos clients et leur protection est notre priorité absolue.

Un chercheur a récemment rendu public une vulnérabilité connue sous le nom de KRACK dans le protocole de cryptage LAN sans fil (Wi-Fi) standard WPA2. Cette vulnérabilité permet à un attaquant d'intercepter intentionnellement les transmissions sans fil entre le client (terminal équipé de la fonctionnalité Wi-Fi) et le point d'accès (routeur, etc.) pour effectuer des activités potentiellement malveillantes. C'est pourquoi cette vulnérabilité ne peut être exploitée par aucune personne située en dehors de la portée du signal Wi-Fi ou dans un emplacement distant et utilisant Internet en guise d'intermédiaire. 

Nous devons encore confirmer si cette vulnérabilité a pu causer des problèmes aux utilisateurs de produits Canon. Cependant, pour que nos clients puissent continuer à utiliser nos produits en toute tranquillité, nous recommandons d'adopter les mesures de prévention suivantes : 
•Utilisez un câble USB ou Ethernet pour connecter directement des appareils compatibles à un réseau 
•Chiffrez la transmission des données des appareils en activant les paramètres de chiffrement (TLS/IPSec) 
•Utilisez des supports physiques, comme des cartes SD, avec les appareils compatibles 
•Utilisez des paramètres comme Wireless Direct et Direct Connect avec les appareils compatibles

Les procédures d'utilisation et les fonctionnalités proposées étant variables d'un appareil à l'autre, veuillez consulter le manuel de votre appareil pour en savoir plus. Nous vous recommandons également d'adopter des mesures appropriées pour des appareils tels que votre PC ou votre smartphone. Pour plus d'informations sur les mesures appropriées pour chaque appareil, contactez le fabricant de l'appareil.

Nous avons connaissance des articles de presse concernant les recherches de l'Union des universités Ruhr à propos des vulnérabilités éventuelles auxquelles sont confrontées les imprimantes réseau via le langage de programmation PostScript, largement utilisé dans l'ensemble de notre secteur. Aucun périphérique Canon n'a été testé dans le cadre de ces recherches.

Canon travaille constamment pour garantir le plus haut niveau de sécurité dans tous ses produits et solutions, y compris ses imprimantes réseau. Nous prenons au sérieux la sécurité des informations de nos clients et leur protection est notre priorité absolue. Notre Guide de durcissement MFD offre des explications et conseils sur les meilleurs paramètres de configuration pour assurer une mise en œuvre sécurisée.

Les mesures de sécurité qui s'appliquent à certains produits Canon et à leurs procédures de configuration sont décrites ci-dessous. Notez que ces informations sont uniquement disponibles en anglais.

Imprimantes jet d'encre (série PIXMA) et imprimantes jet d'encre professionnelles (série MAXIFY) - 530 Ko	Contrôleurs Fiery (imagePRESS Server, ColorPASS, imagePASS) - 1,2 Mo	Imprimante jet d'encre grand format (série imagePROGRAF) - 1,15 Mo	Imprimantes laser et imprimantes multifonction pour petits bureaux (séries LBP et MF) - 1,01 Mo
Imprimantes multifonction pour le bureau et imprimantes de production (séries imageRUNNER, imageRUNNER ADVANCE, imagePRESS) - 754 Ko	Caméras réseau : 2,6 Mo	Guide de durcissement MFD - 2,03 Mo	Scanners réseau (série imageFORMULA) - 602 Ko
Matrice de sécurité de la Canon imageRUNNER - 545 Ko	Présentation de la sécurité des périphériques Canon - 1,98 Mo	Livre blanc sur la sécurité des modèles imageRUNNER ADVANCE et imageRUNNER ADVANCE DX - 4,49 Mo	SIEM_spec (imageRUNNER ADVANCE) - 84 Ko
Livre blanc sur la sécurité SMARTshield des modèles ColorWave et PlotWave - 1,01 Mo

Canon accorde la plus grande importance à la sécurité des informations, protégeant la confidentialité, l'intégrité et la disponibilité des informations écrites, verbales et électroniques, afin de garantir les éléments suivants en tout temps :

• Confidentialité : s'assurer que les informations sont accessibles uniquement aux personnes autorisées
• Intégrité : protéger l'exactitude et la totalité des informations et des méthodes de traitement
• Disponibilité : veiller à ce que les utilisateurs autorisés aient accès aux informations en temps voulu

La certification ISO 27001 démontre que Canon Europe a mis en place des systèmes pour protéger les données et les informations d'entreprise, que ce soit en ligne ou hors ligne. En appliquant l'ISO 27001, Canon Europe peut confirmer que ses processus de sécurité du développement à la livraison ont été évalués de manière externe et qu'ils ont été certifiés comme étant conformes à une norme internationalement reconnue par une partie tierce.

Canon Europe a obtenu pour son système de gestion de la sécurité des informations la certification ISO 27001, garantie de respect des normes mondiales. Elle couvre tous les aspects de la sécurité des informations (gestion des risques et des audits, sécurité des produits et gestion des incidents).

Notre système de gestion de la sécurité des informations couvre les domaines suivants :

• politique de sécurité
• organisation de la sécurité des informations
• gestion des ressources
• sécurité des ressources humaines
• sécurité physique et environnementale
• gestion des communications et des opérations
• contrôle d'accès
• acquisition, développement et maintenance de systèmes d'information
• gestion des incidents liés à la sécurité des informations
• gestion de la continuité des activités
• conformité à la réglementation

L'équipe Canon EMEA PSIRT (équipe de réponse aux incidents de sécurité des produits) fait partie de l'organisation mondiale Canon PSIRT et est chargée de répondre aux vulnérabilités associées aux produits, systèmes et services de Canon EMEA. Nous suivrons les meilleures pratiques du secteur afin d'améliorer les niveaux de sécurité des produits et de fournir à nos clients des produits hautement sécurisés.

Canon EMEA PSIRT accueille les informations relatives à toute vulnérabilité de produit suspectée et nous les traitons conformément à notre politique de divulgation des vulnérabilités.

Si vous pensez avoir découvert un problème de sécurité sur un produit Canon ou si vous souhaitez signaler un incident de sécurité, vous pouvez contacter l'équipe de réponse aux incidents de sécurité des produits Canon EMEA par e-mail à l'adresse product-security@canon-europe.com ou par le biais de notre formulaire de signalement de vulnérabilité des produits. Veuillez inclure un résumé détaillé du problème de sécurité, le nom exact du produit, la version du logiciel et la nature du problème. Veuillez également inclure une adresse e-mail et un numéro de téléphone afin que nous puissions vous contacter si nous avons besoin de plus d'informations.

Notez que cette adresse e-mail et ce formulaire sont uniquement destinés à signaler des vulnérabilités de sécurité de produit et non des problèmes généraux. Consultez nos pages d'assistance afin d'obtenir de l'aide pour tout autre problème de produit.

L'équipe de sécurité des informations de Canon EMEA s'engage à protéger les clients et les collaborateurs de Canon. Dans le cadre de cet engagement, nous invitons les chercheurs en sécurité à contribuer à la protection de Canon en signalant de manière proactive les vulnérabilités et les failles de sécurité. Vous pouvez envoyer les détails de vos conclusions à l'adresse suivante : appsec@canon-europe.com

Domaines concernés

Vous trouverez ci-après la liste des domaines inclus dans la Politique de divulgation des vulnérabilités de Canon.

*.canon-europe.com	*.canon.nl
*.canon.co.uk	*.canon.com.tr
*.canon.com.de	*.canon.com.sa
*.canon.com.ae	*.canon.com.jp
*.canon.com.ca	*.canon.no
*.canon.es	*.canon.se
*.canon.pl	*.canon.be
*.canon.pt	*.canon.it
*.canon.dk	*.canon.ch
*.canon.fi	*.canon.at
*.canon.fr	*.canon.ie
*.uaestore.canon.me.com

Si vous décelez une faille de sécurité, vous pouvez nous la signaler à l'adresse suivante : appsec@canon-europe.com. Dans un e-mail concis, veuillez nous indiquer la ou les vulnérabilités que vous avez détectées, en vous montrant aussi explicite et en indiquant autant de détails que possible. Veuillez également nous fournir les éventuelles preuves à votre disposition, en gardant à l'esprit que votre message sera examiné par des spécialistes de la sécurité Canon. Votre e-mail doit notamment inclure les informations suivantes :

• Type de vulnérabilité
• Instructions détaillées permettant de reproduire la vulnérabilité
• Approche que vous avez adoptée
• URL complète
• Objets (filtres ou champs de saisie, par exemple) potentiellement impliqués
• Captures d'écran, dans l'idéal
• Indiquez votre adresse IP dans le Rapport de vulnérabilité. Ces informations seront conservées de manière privée afin d'assurer le suivi de vos activités de test et d'examiner les journaux de notre côté.

Nous n'acceptons pas les documents provenant de scanners logiciels automatisés.

Éléments non acceptés :

• Vulnérabilités volumétriques/par déni de service (consistant simplement à submerger notre service avec un grand nombre de demandes)
• Faiblesses relatives à la configuration TLS (par exemple, prise en charge d'une suite de chiffrement « faible », prise en charge de TLS 1.0, sweet32, etc.)
• Problèmes associés à la vérification des adresses e-mail utilisées pour créer des comptes utilisateur liés à myid.canon
• Self-XSS
• Scripts à contenu mixte sur www.canon*
• Cookies non sécurisés sur www.canon*
• Attaques CSRF et CRLF ayant un impact minime
• XSS d'en-tête d'hôte HTTP sans preuve de concept fonctionnelle
• SPF/DMARC/DKIM incomplet/manquant
• Attaques d'ingénierie sociale
• Bogues de sécurité sur les sites Web intégrés avec Canon
• Techniques d'énumération des données réseau (par exemple, capture de bannières, existence de pages de diagnostic de serveur accessibles au public)
• Rapports indiquant que nos services ne sont pas entièrement conformes aux « meilleures pratiques »

Les experts en sécurité des informations de Canon examineront votre rapport et vous contacteront dans un délai de 5 jours ouvrables. 

Votre vie privée

Nous utiliserons vos informations personnelles uniquement pour prendre des mesures basées sur votre signalement. Nous ne partagerons pas vos informations personnelles avec des tiers sans votre autorisation expresse.

Actions potentiellement illégales

Si vous découvrez une faiblesse et que vous l'examinez, il se peut que vous entrepreniez des actions punies par la loi. Si vous suivez les règles et les principes ci-dessous pour signaler les faiblesses de nos systèmes informatiques, nous ne signalerons pas votre infraction aux autorités ni ne déposerons de réclamation.

Il est toutefois important que vous sachiez que le bureau du procureur général (et non CANON), peut décider ou non de vous poursuivre, même si nous n'avons pas signalé votre infraction aux autorités. De ce fait, nous ne pouvons pas garantir qu'aucune poursuite ne sera intentée à votre encontre si vous commettez une infraction passible de sanction lors de votre examen d'une faiblesse.

Le Centre national de cybersécurité du ministère de la Sécurité et de la Justice a créé des directives pour signaler les faiblesses des systèmes informatiques. Nos règles se fondent sur ces directives. (https://english.ncsc.nl/)

Principes généraux

Assumez vos responsabilités et agissez avec la plus grande précaution. Lors de votre enquête, utilisez uniquement les méthodes ou techniques nécessaires pour détecter ou mettre en lumière des faiblesses.

• N'utilisez pas les faiblesses que vous découvrez à d'autres fins que votre propre enquête.
• N'utilisez pas de technique d'ingénierie sociale pour accéder à un système.
• N'installez pas de portes dérobées, même pour démontrer la vulnérabilité d'un système. Les portes dérobées affaiblissent la sécurité d'un système.
• Ne modifiez ni ne supprimez aucune information présente sur un système. Si vous avez besoin de copier des informations pour votre enquête, ne copiez que le strict nécessaire. Si un enregistrement suffit, restez-en là.
• Ne modifiez pas le système de quelque manière que ce soit.
• N'infiltrez un système qu'en cas de nécessité absolue. Si vous parvenez à infiltrer un système, ne partagez l'accès avec personne.
• N'utilisez pas de techniques de force brute, comme la saisie répétée de mots de passe, pour accéder à un système.
• N'utilisez pas les attaques de type déni de service (DoS) pour obtenir l'accès à un système.

Puis-je obtenir une récompense suite à mon enquête ?

Non, votre enquête ne vous rendra éligible à aucune rétribution.

Ai-je l'autorisation de publier les faiblesses que je décèle au cours de mon enquête ?

Ne rendez jamais publiques les faiblesses des systèmes informatiques de Canon ni les conclusions de votre enquête sans nous avoir préalablement consultés, en nous envoyant un e-mail à l'adresse suivante : appsec@canon-europe.com. Nous pouvons collaborer en vue d'empêcher les criminels de faire une utilisation abusive de vos informations. Consultez notre équipe de sécurité des informations pour que nous puissions préparer la publication ensemble.

Puis-je signaler une faiblesse de manière anonyme ?

Oui. Vous n'avez pas besoin de mentionner votre nom ni vos coordonnées lorsque vous signalez une faiblesse. Cependant, nous ne serons pas en mesure de vous consulter au sujet des mesures de suivi, comme ce que nous faisons de votre signalement ou de toute autre forme de collaboration.

Pour quelles fins n'ai-je pas l'autorisation d'utiliser cette adresse e-mail ?

L'adresse e-mail appsec@canon-europe.com ne doit pas être utilisée aux fins suivantes :

• Adresser des plaintes au sujet des produits ou services Canon
• Envoyer des questions ou plaintes concernant la disponibilité des sites Web Canon
• Signaler une fraude avérée ou suspectée
• Signaler des e-mails frauduleux ou des e-mails de phishing
• Signaler des virus