iStock_80038439_XXXLARGE

Sécurité Canon

Sur cette page, vous trouverez des informations importantes concernant la sécurité Canon

Mise en garde de sécurité pour les appareils photo numériques Canon liés aux fonctions de communication du Protocole de transfert d'image (PTP) et aux fonctions de mise à jour du micrologiciel - Ajout le 6 août 2019

Merci d'utiliser les produits Canon.

Une équipe internationale de chercheurs en matière de sécurité a attiré notre attention sur une vulnérabilité liée aux communications via le Protocole de transfert d'image (PTP) utilisé par les appareils photo numériques Canon, ainsi que sur une autre vulnérabilité liée aux mises à jour des micrologiciels.

(CVE-ID:CVE-2019-5994, CVE-2019-5995, CVE-2019-5998, CVE-2019-5999, CVE-2019-6000, CVE-2019-6001)

En raison de ces vulnérabilités, l'appareil photo encourt un risque d'attaque par un tiers s'il est connecté à un PC ou à un appareil mobile ayant été piraté par le biais d'un réseau non sécurisé.

À ce stade, il n'y a pas eu de cas confirmés d'exploitation dommageable de ces vulnérabilités, mais nous souhaitons vous informer des solutions suivantes pour contourner ce problème afin de garantir que nos clients puissent utiliser nos produits en toute sécurité.

  • Assurez-vous que les paramètres de sécurité des périphériques connectés à l'appareil photo sont adaptés, notamment sur le PC, l'appareil mobile ou le routeur utilisés.
  • Ne connectez pas l'appareil photo à un PC ou à un appareil mobile qui est lui-même connecté à un réseau non sécurisé, tel qu'un environnement Wi-Fi gratuit.
  • Ne connectez pas l'appareil photo à un PC ou à un appareil mobile susceptible d'être exposé à un virus.
  • Désactivez les fonctions réseau de l'appareil photo lorsque vous n'en avez pas usage.
  • Téléchargez le micrologiciel officiel à partir du site Web de Canon lorsque vous effectuez une mise à jour du micrologiciel d'un appareil photo.

On remarque une utilisation croissante de PC et appareils mobiles sur des réseaux non sécurisés (Wi-Fi gratuit) dont les clients ne connaissent pas le niveau de sécurité. En effet, de nombreux utilisateurs ont pris l'habitude de transférer des images d'un appareil photo vers un appareil mobile via une connexion Wi-Fi, et nous avons donc décidé d'implémenter des mises à jour des micrologiciels des modèles suivants équipés de la fonction Wi-Fi.


Ces vulnérabilités affectent les appareils photo suivants de la série EOS (reflex numériques et hybrides) :
EOS-1DC*1 *2 EOS 6D Mark II EOS 760D EOS M6 Mark II PowerShot SX740 HS
EOS-1DX*1 *2 EOS 7D Mark II*1  EOS 800D EOS M10
EOS-1DX MK II*1 *2  EOS 70D EOS 1300D EOS M50
EOS 5D Mark III*1 EOS 77D EOS 2000D EOS M100
EOS 5D Mark IV EOS 80D EOS 4000D EOS R
EOS 5DS*1 EOS 200D EOS M3 EOS RP
EOS 5DS R*1 EOS 250D EOS M5 PowerShot G5X Mark II
EOS 6D EOS 750D EOS M6 PowerShot SX70 HS

*1 Si vous utilisez un adaptateur Wi-Fi ou un transmetteur de fichiers sans fil, vous pouvez établir une connexion Wi-Fi.

*2 Les connexions Ethernet sont également affectées par ces vulnérabilités.

Des informations sur les mises à jour des micrologiciels seront fournies individuellement pour chaque produit, en commençant par les produits pour lesquels des préparations ont déjà été effectuées.

 
 

Problème d'authentification uniFLOW - Mise à jour le 19 mars 2019

Nous avons identifié un problème de sécurité survenant dans certains cas d'utilisation du logiciel uniFLOW. NT-Ware a publié un correctif pour résoudre ce problème. Nous vous recommandons fortement d'installer ce correctif sur votre système dès que possible.
Il est possible d'obtenir un accès non autorisé lorsque vous utilisez le « nom d'utilisateur/mot de passe » en tant qu'authentification ou lorsqu'un mécanisme d'authentification par carte est utilisé.
 
Cette situation ne concerne que certaines versions du logiciel lorsqu'elles sont utilisées à l'aide de ces méthodes d'authentification : 
 
• uniFLOW V5.1 SRx
• uniFLOW V5.2 SRx
• uniFLOW V5.3 SRx
• uniFLOW V5.4 SR10 (correctif mis à jour) et version supérieure
• uniFLOW 2018 LTS SRx (correctif mis à jour)
• uniFLOW 2018 v-Releases (correctif mis à jour)
 
Si vous utilisez uniFLOW V5.1 SRx, uniFLOW V5.2 SRx ou uniFLOW V5.3 SRx, contactez votre revendeur agréé ou un représentant de support Canon.

Veuillez trouver les instructions d'installation du correctif ici 

Nous nous engageons à fournir à nos clients des solutions sécurisées et nous nous excusons pour tout désagrément causé par cette situation. Si vous avez besoin de plus amples renseignements sur cette mise en garde, veuillez contacter votre bureau Canon local, votre revendeur agréé ou un représentant de l'assistance Canon. Si vous remarquez une activité suspecte, veuillez immédiatement signaler cette situation à votre gestionnaire de compte et à votre service informatique. 
 
 

Vulnérabilité de télécopie - Ajout le 31 août 2018 

Récemment, des chercheurs ont signalé des vulnérabilités détectées dans les protocoles de communication des fonctions de télécopie de certains produits. (CVE-ID : CVE-2018-5924, CVE 2018-5925). Pour en savoir plus sur l'impact de ces vulnérabilités sur les produits Canon équipés de fonctions de télécopie, lisez ce qui suit :

Selon notre examen, les produits suivants, qui n'emploient pas le protocole de télécopie G3 couleur exploité par ces vulnérabilités, ne sont pas concernés : modèles des séries imageRUNNER/iR, imageRUNNER ADVANCE, LASER CLASS, imagePRESS, FAXPHONE, GP et imageCLASS/i-SENSYSéquipés de fonctions de télécopie.

Les produits des séries MAXIFY et PIXMA équipés de fonctions de télécopie emploient le protocole de télécopie G3 couleur. Toutefois, nous n'avons identifié aucun risque de code malveillant exécuté via le circuit de télécopie, ni aucun risque pour la sécurité des informations enregistrées sur ces périphériques.

Nous continuerons de surveiller cette situation et de prendre les mesures nécessaires pour assurer la sécurité de nos périphériques.


Vulnérabilités de sécurité de CPU Spectre et Meltdown - Ajout le 8 mars 2018

Récemment, des vulnérabilités ont été rendues publiques concernant certains processeurs d'Intel, AMD et ARM utilisant l'exécution spéculative pour améliorer leurs performances. Ces vulnérabilités peuvent permettre à un attaquant d'obtenir un accès non autorisé aux zones de la mémoire cache privée.

Deux variantes de ces vulnérabilités utilisant différentes techniques pour exploiter les fonctions d'exécution spéculative au sein des processeurs concernés ont été identifiées et nommées. Il s'agit de CVE-2017-5715, CVE-2017-5753 : « Spectre » et CVE-2017-5754 : « Meltdown ».

Les produits de contrôleurs externes de Canon suivants peuvent être concernés par ces vulnérabilités. Bien qu'il n'existe actuellement aucun moyen connu d'exploiter ces vulnérabilités, des correctifs sont en cours d'élaboration afin que les clients puissent continuer à utiliser nos produits sans inquiétude.

ColorPASS : 
GX300 v2.0, GX300 v2.1, GX400 v1.0, GX500 v1.1

imagePASS : 
U1 v1.1, U1 v1.1.1, U2 v1.0 
Y1 v1.0, Y2 v1.0

Serveur imagePRESS-CR : 
A7000 v2.1, A7000 v3.0, A7300 v1.0, A7500 v2.1, A8000 v1.1

Serveur imagePRESS : 
A1200 v1.0, A1200 v1.1, A1300 v1.0, A2200 v1.0, A2200 v1.1, A2300 v1.0, A3200 v1.0, A3200 v1.1, A3300 v1.0 
B4000 v1.0, B4100 v1.0, B5000 v1.0, B5100 v1.0 
F200 v1.21, H300 v1.0 
J100 v1.21, J200 v1.21 
K100 v1.0, K200 v1.0 
Q2 v2.0, Z1 v1.0


Le service Canon suivant peut être concerné par ces vulnérabilités. Bien qu'il n'existe actuellement aucun moyen connu d'exploiter ces vulnérabilités, des correctifs ont été mis en place fin février 2018.

MDS Cloud

Toutes les imprimantes multifonctions laser Canon et imprimantes laser Canon ainsi que leurs produits logiciels associés, sauf ceux mentionnés ci-dessus, ne sont pas concernés par ces vulnérabilités par le biais de tout processus d'exploitation connu. Les clients peuvent continuer à utiliser nos produits en toute confiance.

Canon travaille constamment pour garantir que le plus haut niveau de sécurité est atteint dans tous nos produits et solutions. Nous prenons au sérieux la sécurité des informations de nos clients et leur protection est notre priorité absolue.


Vulnérabilité dans le protocole de cryptage Wi-Fi WPA2 - Ajout le 16 janvier 2018 

Un chercheur a récemment rendu public une vulnérabilité connue sous le nom de KRACK dans le protocole de cryptage LAN sans fil (Wi-Fi) standard WPA2. Cette vulnérabilité permet à un attaquant d'intercepter intentionnellement les transmissions sans fil entre le client (terminal équipé de la fonctionnalité Wi-Fi) et le point d'accès (routeur, etc.) pour effectuer des activités potentiellement malveillantes. C'est pourquoi cette vulnérabilité ne peut être exploitée par aucune personne située en dehors de la portée du signal Wi-Fi ou dans un emplacement distant et utilisant Internet en guise d'intermédiaire. 


Nous devons encore confirmer si cette vulnérabilité a pu causer des problèmes aux utilisateurs de produits Canon. Cependant, pour que nos clients puissent continuer à utiliser nos produits en toute tranquillité, nous recommandons d'adopter les mesures de prévention suivantes : 
•Utilisez un câble USB ou Ethernet pour connecter directement des appareils compatibles à un réseau 
•Chiffrez la transmission des données des appareils en activant les paramètres de chiffrement (TLS/IPSec) 
•Utilisez des supports physiques, comme des cartes SD, avec les appareils compatibles 
•Utilisez des paramètres comme Wireless Direct et Direct Connect avec les appareils compatibles


Les procédures d'utilisation et les fonctionnalités proposées étant variables d'un appareil à l'autre, veuillez consulter le manuel de votre appareil pour en savoir plus. Nous vous recommandons également d'adopter des mesures appropriées pour des appareils tels que votre PC ou votre smartphone. Pour plus d'informations sur les mesures appropriées pour chaque appareil, contactez le fabricant de l'appareil.

Cela pourrait également vous intéresser...