Avec la démocratisation de l’Internet à haut débit et l’augmentation des capacités des NAS, l’accès aux données à distance s’est rapidement imposé. Le cloud privé offre de nombreux avantages : Accessibilité, Confidentialité, Coût, Efficacité, Flexibilité…
Cependant, ouvrir son NAS à l’extérieur et donc à l’Internet, peut comporter des risques. Tous les experts vous le diront : « Aucun système informatique n’est infaillible… » (ndlr : même les NAS). Bien entendu, les constructeurs prennent très au sérieux les problèmes liés à la sécurité… mais l’utilisateur doit lui aussi faire le nécessaire.
C’est pour cette raison que nous avons décidé de rédiger cet article afin de vous fournir quelques trucs/astuces pour vous aider à sécuriser votre NAS. Quel que soit le constructeur de votre boitier (ASUSTOR, Buffalo, iOmega, Qnap, Synology, Thecus, etc.), nous vous conseillons de prendre 5/10 minutes pour parcourir nos 10 conseils sécurité…
1. Assurez vous d’utiliser la dernière version du firmware
Les constructeurs de NAS mettent régulièrement à jour leur firmware (logiciel interne). Au-delà de fournir de nouvelles fonctionnalités, les mises à jour contiennent leurs lots de corrections de bugs, mais elles peuvent également boucher des failles de sécurité. Pensez à mettre à jour le logiciel interne de votre NAS régulièrement.
Pour rappel, un bug est un défaut dans un programme pouvant provoquer un plantage voire la perte de données. Une faille de sécurité est un défaut qui ne provoque pas un dysfonctionnement, mais qui permet à un pirate ou à un logiciel malveillant d’effectuer des opérations non autorisées (vol, suppression de données, installation de programmes, etc).
2. Mettez à jour les applications
Les constructeurs (mais aussi certains éditeurs) sortent régulièrement des mises à jour de leurs applications. Comme pour le logiciel interne (firmware) de votre NAS, les mises à jour d’application permettent d’apporter de nouvelles fonctionnalités, corriger des bugs et aussi boucher des failles de sécurité. Mettez à jour vos applications sur votre NAS.
Profitez-en pour parcourir la liste des applications installées sur votre NAS et de désinstaller celles que vous n’utilisez plus.
3. N’installez que des applications/packages d’éditeurs connus et reconnus
Les constructeurs de NAS mettent à disposition gratuitement leur SDK (Software Development Kit ou Kit de développement logiciel) afin d’accroitre les possibilités des boitiers réseaux. Malheureusement, les pirates développent également des virus et autres malwares (ransonware, cheval de Troie…) grâce à ces SDK pour NAS. Lorsque vous installez une application/un package, soyez sûr de l’éditeur et de la source du téléchargement.
4. Sauvegardez régulièrement vos fichiers importants
Le NAS sécurise vos données, mais nous vous conseillons vivement de faire une sauvegarde de vos fichiers importants sur un autre support. Votre boitier n’est ni résistant au feu, ni à l’eau ou au vol ?
Les NAS proposent de nombreuses solutions de sauvegardes dans le Cloud (DropBox, Box.net, Amazon S3, Google Drive) ou sur un support externe en USB (clé, disque dur…), eSata, etc.
5. Utilisez un logiciel antivirus
La plupart des constructeurs de NAS proposent un Antivirus gratuit (des versions payantes existent également). Au-delà de protéger le NAS en lui-même, celui-ci peut également vous prévenir de toute transmission de virus/malware/autre à travers un autre support USB/e-mail/Cloud.
Installer un antivirus sur votre NAS ne réduira pas ses performances. En effet, ces derniers ne font pas d’analyse en temps réel. Il faudra programmer une analyse automatique de préférence la nuit ou réaliser un scan manuel régulièrement.
6. Privilégiez le HTTPS
Le HTTPS est un protocole de transfert hypertexte sécurisé. Celui-ci permet garantir la confidentialité et l’intégrité des données envoyées par l’utilisateur (comme le nom d’utilisateur et le mot de passe). Si votre NAS est accessible depuis l’extérieur, le HTTPS est obligatoire.
Le certificat associé au NAS est autosigné. C’est pour cette raison que vous aurez un message d’alerte de votre navigateur préféré. Si possible, approuvez-le pour éviter d’avoir un message d’alerte à chaque connexion.
Il est aussi possible d’obtenir un certificat auprès d’un fournisseur tiers. Il faudra enregistrer un nom de domaine et passer par exemple par StartSSL (certificat gratuit).
7. Désactivez le compte admin
Tous les NAS utilisent l’utilisateur admin pour la gestion/administration de celui-ci. Le problème, c’est que les pirates le savent très bien. C’est pour cette raison qu’il est souhaitable de créer un autre utilisateur, avec les droits Administrateurs. Ensuite, désactiver le compte admin.
A noter que certains constructeurs ne permettent pas de réaliser cette opération. N’accéder pas à votre NAS depuis l’extérieur en utilisant votre compte admin.
8. Activez le blocage automatique d’IP
Dès que vous permettez l’accès à distance, il y a beaucoup de chances que des personnes mal intentionnées (pirates, encore eux) tentent d’accéder à votre NAS. Ils vont tenter de se connecter à l’interface Web d’administration, FTP, SSH, etc. Afin de réduire leurs chances de réussite, il est possible d’activer le blocage IP. Lorsqu’il y a trop de tentatives de connexion infructueuses (Brute Force), le NAS est capable de mettre automatiquement l’adresse IP du pirate sur liste noire/blocage.
9. Ouvrez les bons ports
Grâce à l’UPnP IGD, les NAS sont capables d’ouvrir des ports (ouverture permettant l’accès depuis l’extérieur) sur votre Box/routeur. Que ce soit votre NAS ou que vous ayez ouvert vous même les ports sur votre box/routeur, n’ouvrez que les ports nécessaires correspondant aux services adéquats.
10. Choisissez des mots de passe différents
Cette règle, vous la connaissez déjà. N’utilisez pas le même mot de passe pour l’ensemble de vos services (mail, site web, NAS, etc). Choisissez un mot de passe d’au moins 8 caractères avec au moins une majuscule, une minuscule, un chiffre et un caractère spécial ($ # + ! ; -). Enfin, sachez que certains constructeurs offrent la possibilité d’activer la vérification en 2 étapes. En plus de votre mot de passe, vous devez saisir un code de vérification unique fourni par une application installée sur votre smartphone par exemple.
Voilà ! Ceci n’est qu’un premier article… Il n’a pas la prétention de vous prémunir de tous les dangers mais d’offrir quelques conseils. Bien sûr, il est possible d’aller plus loin et nous ne pouvons que vous conseiller d’échanger sur le sujet sur notre forum.