Faille de sécurité dans les NAS

hacker

Hier, certains ont découvert que les NAS avaient eux aussi des failles de sécurité. C’est triste… mais c’est comme sur votre PC ou Mac !

La news dont je vous parle, c’est celle relayée un peu partout sur la toile annonçant que DSM 4.3 de Synology contenait une faille permettant à un utilisateur mal intentionné de lire/écrire/supprimer des fichiers à distance sans avoir de droit sur le NAS. Personnellement, je dis toujours aux gens que dès qu’on ouvre un PC, NAS ou objet connecté sur le grand Internet… il y a un risque. Même s’il est minime, il y a un risque.

Est-ce la première fois qu’il y a une faille découverte sur une NAS ? NON… mais il faut dire que les NAS Synology sont très populaires et que l’annonce a fait pas mal de bruit. Pourtant, Synology fait partie des bons élèves. Le constructeur est très réactif et fournit des mises à jour régulièrement. Certains constructeurs (suivez mon regard) prennent parfois plusieurs mois avant de fournir un correctif…

Certains abandonnent même les mises à jour 2 ans après la mise sur marché (oui, comme pour les téléphones et tablettes). Si je vous conseille des NAS parfois un peu plus chers que les entrées de gamme… il y a souvent de bonne raison.

synpology-dsm

Bref, pour revenir à la faille découverte sur les Syno disposant de DSM 4.3, cette dernière était présente uniquement en HTTP et non en HTTPS. Non, mais les gens… lorsque ouvrez votre NAS à l’extérieur, activer au moins le HTTPS. C’est juste une case à cocher.

Pour ceux que ça intéresse, il y a toutes les explications sur cette faille liée à FileStation, en suivant ce lien. Cette dernière a été corrigée par Synology depuis le 9 janvier.

L’autre information importante liée à cette faille, c’est que les vilains pirates ne s’en sont pas pris aux données des utilisateurs (OK, il y a eu deux ou trois cas). Non, ils se sont amusés à installer une petite application… Un virus ? NON. De quoi transformer le NAS en Bot ? NON. Juste une simple application permettant de miner des Bitcoins.

Akoiça ? Le minage de Bitcoin, c’est le procédé d’utiliser sa machine (PC ou NAS) pour effectuer des calculs mathématiques pour le réseau du même nom… afin de confirmer des transactions et augmenter la sécurité. En contrepartie, vous pouvez recevoir des Bitcoins. Autant vous dire que le minage sur un NAS ne doit pas rapporter beaucoup… Mais en infectant des milliers de NAS, il y a moyen de se faire un peu d’argent.

dsm-43

Pour terminer la petite histoire, je ne peux que vous conseillez de mettre à jour votre NAS régulièrement (surtout lorsque le changelog annonce amélioration de la sécurité). Connectez-vous sur votre NAS et à aller dans le Panneau de configuration -> Mise à jour du DSM et enfin le bouton Télécharger. Pour rappel, il existe également une fonction qui permet de Rechercher et télécharger les mises à jour régulièrement. Lorsqu’une mise à jour tombe, vous aurez une petite notification vous invitant à l’appliquer.

Pour ceux qui souhaiterait se faire un peu d’argent avec leur NAS et s’adonner au minage de Bitcoin, allez faire un tour sur le forum… vous retrouverez toutes les informations pour Synology, Thecus & co.