10 conseils sécurité pour votre NAS

Avec la démocratisation de l’Internet à haut débit et l’augmentation des capacités des NAS, l’accès aux données à distance s’est rapidement imposé. Le cloud privé offre de nombreux avantages : Accessibilité, Confidentialité, Coût, Efficacité, Flexibilité…

Cependant, ouvrir son NAS à l’extérieur et donc à l’Internet, peut comporter des risques. Tous les experts vous le diront : « Aucun système informatique n’est infaillible… » (ndlr : même les NAS). Bien entendu, les constructeurs prennent très au sérieux les problèmes liés à la sécurité… mais l’utilisateur doit lui aussi faire le nécessaire.

C’est pour cette raison que nous avons décidé de rédiger cet article afin de vous fournir quelques trucs/astuces pour vous aider à sécuriser votre NAS. Quel que soit le constructeur de votre boitier (ASUSTOR, Buffalo, iOmega, Qnap, Synology, Thecus, etc.), nous vous conseillons de prendre 5/10 minutes pour parcourir nos 10 conseils sécurité

hacker

1. Assurez vous d’utiliser la dernière version du firmware

Les constructeurs de NAS mettent régulièrement à jour leur firmware (logiciel interne). Au-delà de fournir de nouvelles fonctionnalités, les mises à jour contiennent leurs lots de corrections de bugs, mais elles peuvent également boucher des failles de sécurité. Pensez à mettre à jour le logiciel interne de votre NAS régulièrement.

Pour rappel, un bug est un défaut dans un programme pouvant provoquer un plantage voire la perte de données. Une faille de sécurité est un défaut qui ne provoque pas un dysfonctionnement, mais qui permet à un pirate ou à un logiciel malveillant d’effectuer des opérations non autorisées (vol, suppression de données, installation de programmes, etc).

2. Mettez à jour les applications

Les constructeurs (mais aussi certains éditeurs) sortent régulièrement des mises à jour de leurs applications. Comme pour le logiciel interne (firmware) de votre NAS, les mises à jour d’application permettent d’apporter de nouvelles fonctionnalités, corriger des bugs et aussi boucher des failles de sécurité. Mettez à jour vos applications sur votre NAS.

Profitez-en pour parcourir la liste des applications installées sur votre NAS et de désinstaller celles que vous n’utilisez plus.

3. N’installez que des applications/packages d’éditeurs connus et reconnus

Les constructeurs de NAS mettent à disposition gratuitement leur SDK (Software Development Kit ou Kit de développement logiciel) afin d’accroitre les possibilités des boitiers réseaux. Malheureusement, les pirates développent également des virus et autres malwares (ransonware, cheval de Troie…) grâce à ces SDK pour NAS. Lorsque vous installez une application/un package, soyez sûr de l’éditeur et de la source du téléchargement.

4. Sauvegardez régulièrement vos fichiers importants

Le NAS sécurise vos données, mais nous vous conseillons vivement de faire une sauvegarde de vos fichiers importants sur un autre support. Votre boitier n’est ni résistant au feu, ni à l’eau ou au vol ?

Les NAS proposent de nombreuses solutions de sauvegardes dans le Cloud (DropBox, Box.net, Amazon S3, Google Drive) ou sur un support externe en USB (clé, disque dur…), eSata, etc.

5. Utilisez un logiciel antivirus

La plupart des constructeurs de NAS proposent un Antivirus gratuit (des versions payantes existent également). Au-delà de protéger le NAS en lui-même, celui-ci peut également vous prévenir de toute transmission de virus/malware/autre à travers un autre support USB/e-mail/Cloud.

Installer un antivirus sur votre NAS ne réduira pas ses performances. En effet, ces derniers ne font pas d’analyse en temps réel. Il faudra programmer une analyse automatique de préférence la nuit ou réaliser un scan manuel régulièrement.

6. Privilégiez le HTTPS

Le HTTPS est un protocole de transfert hypertexte sécurisé. Celui-ci permet garantir la confidentialité et l’intégrité des données envoyées par l’utilisateur (comme le nom d’utilisateur et le mot de passe). Si votre NAS est accessible depuis l’extérieur, le HTTPS est obligatoire.

Le certificat associé au NAS est autosigné. C’est pour cette raison que vous aurez un message d’alerte de votre navigateur préféré. Si possible, approuvez-le pour éviter d’avoir un message d’alerte à chaque connexion.

certificat-non-valide-NAS

Il est aussi possible d’obtenir un certificat auprès d’un fournisseur tiers. Il faudra enregistrer un nom de domaine et passer par exemple par StartSSL (certificat gratuit).

7. Désactivez le compte admin

Tous les NAS utilisent l’utilisateur admin pour la gestion/administration de celui-ci. Le problème, c’est que les pirates le savent très bien. C’est pour cette raison qu’il est souhaitable de créer un autre utilisateur, avec les droits Administrateurs. Ensuite, désactiver le compte admin.

A noter que certains constructeurs ne permettent pas de réaliser cette opération. N’accéder pas à votre NAS depuis l’extérieur en utilisant votre compte admin.

8. Activez le blocage automatique d’IP

Dès que vous permettez l’accès à distance, il y a beaucoup de chances que des personnes mal intentionnées (pirates, encore eux) tentent d’accéder à votre NAS. Ils vont tenter de se connecter à l’interface Web d’administration, FTP, SSH, etc. Afin de réduire leurs chances de réussite, il est possible d’activer le blocage IP. Lorsqu’il y a trop de tentatives de connexion infructueuses (Brute Force), le NAS est capable de mettre automatiquement l’adresse IP du pirate sur liste noire/blocage.

9. Ouvrez les bons ports

Grâce à l’UPnP IGD, les NAS sont capables d’ouvrir des ports (ouverture permettant l’accès depuis l’extérieur) sur votre Box/routeur. Que ce soit votre NAS ou que vous ayez ouvert vous même les ports sur votre box/routeur, n’ouvrez que les ports nécessaires correspondant aux services adéquats.

10. Choisissez des mots de passe différents

Cette règle, vous la connaissez déjà. N’utilisez pas le même mot de passe pour l’ensemble de vos services (mail, site web, NAS, etc). Choisissez un mot de passe d’au moins 8 caractères avec au moins une majuscule, une minuscule, un chiffre et un caractère spécial ($ # + ! ; -). Enfin, sachez que certains constructeurs offrent la possibilité d’activer la vérification en 2 étapes. En plus de votre mot de passe, vous devez saisir un code de vérification unique fourni par une application installée sur votre smartphone par exemple.

cadenas

Voilà ! Ceci n’est qu’un premier article… Il n’a pas la prétention de vous prémunir de tous les dangers mais d’offrir quelques conseils. Bien sûr, il est possible d’aller plus loin et nous ne pouvons que vous conseiller d’échanger sur le sujet sur notre forum.

  1. Je conseillerais même de changer les ports de certains services. Je dis certains car si vous changer par exemple le port 1723 (VPN PPTP) vous risquez de ne plus pouvoir vous connecter sans devoir bidouiller depuis windows.

    Quelques logiciel ne propose pas la spécification d’un port.

  2. Une mise au point toujours utile. Merci FX.
    J’utilise de mon coté un compte autre que Admin avec mot de passe de 15 caracteres avec Maj, Min, symbole et chiffre et validation en 2 etapes via google autenticator via smartphone.
    Que penses tu de cette dernière fonction. Tu en parles, mais est ce « incrackable » ? Seul google possède ce genre de softs ? le hic est qu’il n’est pas compatible avec beaucoup de softs… Gmail, dropbox ok mais pas grand chose d’autre…

    1. Bravo pour l’autre compte (que l’admin) et ton mot de passe de 15 caractères !
      Concernant tes questions… Pour moi, aucun système n’est « incrackable » (ou l’inverse tous les systèmes sont crackables). Si ce n’est pas encore fait, cela le sera un jour. Je pense que les pirates vont d’abord s’attaquer à d’autre faille avant de s’attaque à la validation en 2 étapes. Le Google Authenticator est gratuit, facile à mettre en place et l’un des plus efficaces aujourd’hui (pour le particulier). Je ne parle pas ici des offres pour les professionnels 😉

  3. Bonne idée !
    Concernant l’acceptation uniquement de certaines IP ou adresse MAC. Je vais parler pour mon NAS Asustor, mais peut-on bloquer l’accès à l’interface ADM aux IP non autorisées et laisser libre accès à des applis tel PhotoGallery?
    Car je souhaite que seules des personnes identifiées accèdent à l’interface web ADM mais je veux partager mes photos avec pleins de gens et je ne vais pas leur demander leur adresse MAC systématiquement pour les autoriser…

  4. Bon article 🙂 Merci FX,

    Malheureusement tous les conseils ne sont pas applicables systématiquement. Par exemple, si tu es utilisateur d’un NAS Asustor, étant donné que surveillance center ne suppporte pas l’https, tu ne peux pas utiliser l’https sur tout et tu es donc contraint de laisser l’accès http ouvert…

    Pour les ports, j’entends de tout, tu préconises l’upnp ou l’ouverture manuelle de port?

    Merci,

    Renaud

  5. Bonjour,

    Pas d’accord avec le point : « 7. Désactivez le compte admin »

    L’usage veut que l’on ne puisse pas se connecter directement à un compte root OU possédant les droits root. Il faut créer un compte utilisateur avec de simples droits utilisateurs MAIS être en mesure d’escalader vers un compte administrateur ou en acquérir les droits.

    Le problème avec le compte « utilisateur-qui-a-les-droits-administrateur » est qu’il est utilisé la majeurs partie du temps est qu’il est vulnérable à des attaque de brut force, vol de mot de passe et je passe les attaques « client-side » qui ferait s’executer des processus avec les droits admin.

    Ainsi dés que ce compte est compromis, tout le travail est fait pour l’attaquant, il est directement root !

    voila

    Cordialement

    1. Bonjour josh,

      Je comprends votre inquiétude, mais votre exemple dans le deuxième paragraphe : « il est utilisé la majeurs partie du temps est qu’il est vulnérable à des attaque de brut force, vol de mot de passe et je passe les attaques « client-side » qui ferait s’executer des processus avec les droits admin. » est la problématique du compte admin. Les NAS ne permettent pas de se connecter en root. Tous les NAS proposent un compte admin par défaut. Le pirate va tenter dans un premier temps d’utiliser root, admin et guest. Pour attaquer le compte ‘utilisateur-qui-a-les-droits-administrateur », il lui faudra tout d’abord le trouver. Mais je comprends votre développement et je suis d’accord… Il faut limiter les accès à distance avec des droits trop importants.

      Bien cordialement… 😉

      1. Bonjour,

        <>

        si, en ligne de commande pour les syno, c’est d’ailleurs la seule manière de le faire ce qui n’est pas « propre ».

        Pour le reste je suis d’accord avec vous. Avec cette subtilité que généralement et quand on le peut, on change les noms prédictibles des comptes à privilèges du genre de admin, root ou guest mais vraiment se connecter en direct avec les droits root (ou super user) –> pas bien.

        je profite de l’occasion pour vous complimenter sur votre blog surtout sachant les différentes obligations que vous avez à coté, chapeau bas …

        1. Effectivement, tu peux te connecter en root en Telnet/SSH. Mais ouvrir ces protocoles à Internet, c’est aller au devant de gros ennui 😉

    2. salut
      toi tu es sous windaub 😉 sous linux si tu crées pas de compte user par default tu et considerer comme admin et pour passer super admin il sufis de passer par le terminal et sudo su et tu fait tout se que tu veux alors que sous windaube meme en tant qu’admin tu peu pas tous faire et meme en tant que super admin il trouve le moyen de te casser les coui…

      1. Salut,
        j’utilise les deux mon capitaine ;).
        Sous linux tu n’est absolument pas root par défaut du moins sous ubuntu, debian ou red hat … Il y a soit la création d’un compte root lors de l’installation soit le compte user créé est inclut d’office dans la liste des sudoers mais là tu dois entrer un mot de passe pour accéder aux droits du su et donc faire une escalade de privilèges. Il n’y a pas de rôle intermédiaire, soit tu es user (avec différents droits) soit root ou super-user (su).

        Concernant windows, je t’accorde que les privilèges « root,super-admin » sont confondues avec les droits « user » mais sur 7 et 8 il y a quelques améliorations intéressantes … @+

        1. c’est vrais t’as raison pour linux c’est par ce qu’a l’installation j’ai créer mon user en donnant tous les droit et oui quand on est seul on a tendance a se co comme admin en tout cas moi seule a la maison je créer pas 30 user j’ai viré le MdP a l’allumage (oui je c la sécurité laisse a désiré mais je vois mal mon chien allumer mon ordi la nuit quand je dort)

          quand a windaub j’ai petté les plomb quand il m’a dit vous ne pouvez pas supprimé se dossier vous devez être administrateur pour la 15ème foie de la journée du coup je suis passer sous Ubuntu (c’est loin d’être la meilleur des disribution mais la prise en main et simple et trés intuitive alors …)

          prochain teste fedora et mint m’a l’air bien aussi

  6. Bonjour,
    Merci pour cet excellent article.
    Une question pas vraiment en lien, mais je n’ai pas trouvé où la poser sur le site : Sur DSM, le journal d’hibernation n’enregistre que la sortie d’hibernation. Existe-t-il un moyen d’enregistrer l’entrée des disques en hibernation (en + de la sortie) ?
    Merci et bravo pour le site !

  7. bonjour,

    pour ma part, si je n’autorise que les IP françaises dans le firewall, je n’arrive pas à accéder à mon NAS de l’extérieur. Je suis abonné chez SFR fibre. L’IP de ma box est bien identifié en FRANCE d’après le site http://www.maxmind.com.... Si j’autorise toutes les IP sources plutôt que FRANCE, l’accès est à nouveau fonctionnel de l’extérieur.

    Une idée ? un conseil?

    Merci pour votre aide.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.