PaperCut NG/MF : le CERT-FR signale trois failles exposant la confidentialité des données d'impression

5/5/26
👈 les autres actualités

PaperCut NG/MF : le CERT-FR signale trois failles exposant la confidentialité des données d'impression

Le 5 mai 2026, le CERT-FR a publié l'avis CERTFR-2026-AVI-0533 signalant plusieurs vulnérabilités dans PaperCut, le logiciel de gestion des impressions utilisé par des milliers d'organisations, d'universités et d'établissements de santé en France et en Europe. En jeu : l'atteinte à la confidentialité des données et le contournement des politiques de sécurité. Pour les DPO, l'enjeu dépasse la simple mise à jour technique.

Ce qui s'est passé

Le CERT-FR documente trois vulnérabilités issues du bulletin de sécurité publié le 5 mai 2026 par l'éditeur PaperCut :

  • CVE-2026-6180 : atteinte à la confidentialité des données
  • CVE-2026-6418 : contournement de politique de sécurité
  • CVE-2026-7824 : atteinte à la confidentialité des données

Les systèmes concernés sont deux des produits les plus déployés de l'éditeur :

  • PaperCut Embedded App versions antérieures à 2.2.0 sur les appareils Ricoh
  • PaperCut NG/MF versions antérieures à 25.0.11

Le correctif est disponible : l'éditeur recommande une mise à jour immédiate vers les versions 2.2.0 (Embedded App) et 25.0.11 (NG/MF). Ce type d'alerte CERT-FR s'inscrit dans une série d'avis publiés ces dernières semaines sur des vulnérabilités dans des outils professionnels courants, après des alertes similaires concernant Atlassian Confluence et Jira ou encore Moodle.

Pourquoi c'est important — PaperCut traite des données personnelles

PaperCut est bien plus qu'un gestionnaire d'impressions : c'est un système qui collecte et traite des données personnelles à chaque impression. Nom de l'utilisateur, identifiant réseau, date et heure, volume de pages, documents imprimés et parfois contenu de ceux-ci — autant d'informations qui peuvent être exposées si une vulnérabilité est exploitée.

Dans les établissements de santé, les universités ou les administrations, cette surface d'exposition est particulièrement sensible. Un attaquant qui exploite CVE-2026-6180 ou CVE-2026-7824 peut potentiellement accéder aux journaux d'impression et contourner les mécanismes de contrôle d'accès (CVE-2026-6418) pour élargir sa prise de contrôle.

C'est exactement ce que vise l'article 32 du RGPD : imposer aux responsables de traitement de mettre en œuvre des mesures techniques appropriées pour assurer la sécurité des données, y compris dans les outils périphériques souvent négligés comme les systèmes d'impression. PaperCut, justement parce qu'il touche à tous les postes et tous les utilisateurs, est un vecteur d'attaque privilégié.

Pour les organisations soumises à la directive NIS 2, une exploitation de ces failles — même sans exfiltration prouvée — peut constituer un incident de sécurité significatif à notifier à l'ANSSI dans un délai de 24 heures.

Ce que ça change pour les organisations — les actions à mener

La démarche recommandée suit la logique d'une politique de sécurité informatique structurée :

  1. Inventorier toutes les instances PaperCut déployées dans votre parc (NG, MF, Embedded App sur copieurs Ricoh) et identifier les versions installées.
  2. Patcher en urgence : mettre à jour vers PaperCut NG/MF 25.0.11 et Embedded App 2.2.0. Suivre les instructions du bulletin de sécurité de l'éditeur.
  3. Auditer les logs : vérifier si des accès anormaux ont eu lieu avant la correction — connexions inhabituelles, requêtes massives sur les journaux d'impression, accès hors horaires.
  4. Documenter la décision et les actions dans votre registre des risques. Si une violation de données est suspectée, le délai de notification CNIL de 72 heures court dès la détection (article 33 RGPD).
  5. Sensibiliser le RSSI et les équipes IT : PaperCut est souvent géré par des équipes infrastructure qui ne sont pas toujours au fait des implications RGPD de ces outils.

Ce que Leto pense de cette décision

La régularité avec laquelle le CERT-FR publie des alertes sur des outils aussi courants que PaperCut devrait inciter les DPO à sortir de leur posture réactive. Attendre l'alerte pour patcher, c'est déjà potentiellement en retard au regard de l'article 32 RGPD, qui impose une vigilance continue — pas seulement une réponse à chaud.

Les logiciels de gestion des impressions restent des angles morts dans beaucoup de programmes de conformité. Ils sont perçus comme des outils "neutres", alors qu'ils journalisent en continu des données personnelles. Cette alerte CERT-FR est l'occasion de les faire entrer dans le registre des traitements, dans les analyses de risque, et dans les plans de patch management.

Sources : Avis CERTFR-2026-AVI-0533 — CERT-FR (5 mai 2026) · Bulletin de sécurité PaperCut — mai 2026

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026