La sécurité des données est une préoccupation majeure pour nous tous (entreprise et particulier), qui utilisons un NAS. Les produits Synology et QNAP sont parmi les meilleurs produits réseau du marché, mais ils ne sont pas à l’abri de failles de sécurité. Afin de garantir une sécurité optimale pour leurs clients, les deux fabricants ont chacun mis en place un programme Bug Bounty.
NAS Synology et QNAP : des cibles de choix pour les cybercriminels
Synology et QNAP proposent des NAS qui sont largement utilisés à travers le monde. Ces boîtiers réseau sont populaires en raison de leur simplicité d’utilisation et de leur polyvalence. En effet, les utilisateurs peuvent stocker toutes leurs données et accéder à leurs fichiers depuis n’importe quel appareil connecté à leur réseau… voire à distance. Toutefois, ces produits sont également très prisés par les cybercriminels. En effet, ces derniers cherchent à exploiter des failles de sécurité pour accéder aux données sensibles (ransomware, espionnage industriel, revente d’informations…). Comme les NAS Synology et QNAP sont les plus vendus du marché, trouver une faille chez un de ces fabricants, c’est une porte ouverte sur des milliers (millions ?) d’unités.
Par défaut, les NAS ne sont pas accessibles depuis Internet, ce qui peut être frustrant. Il est très facile de les rendre accessibles depuis n’importe où… et donc également aux attaques de piratage. Les NAS stockent souvent des fichiers précieux (documents fiscaux, résultats d’examens médicaux, fiches de paie, sauvegardes, photos souvenirs et autres vidéos de familles), mais aussi des données très sensibles (comptabilité d’entreprise, projets confidentiels, fiches RH…). Si ces données tombent entre de mauvaises mains, cela peut causer des dommages importants aux entreprises et aux particuliers.
Les défis liés à la sécurité des NAS Synology et QNAP
Les NAS sont souvent mal sécurisés par leurs utilisateurs. Ces derniers ne prennent pas les mesures de sécurité de base pour les protéger. Les mots de passe sont souvent faibles, les mises à jour logicielles manquantes et la configuration incorrecte. Les cybercriminels vont également chercher à exploiter des vulnérabilités dans les logiciels du NAS (système d’exploitation, protocoles de communication, applications du fabricant) ou les applications tierces pour prendre le contrôle des NAS à distance.
Bug Bounty de Synology et QNAP
Face à ces défis, Synology et QNAP ont chacun mis en place un programme Bug Bounty pour améliorer la sécurité de leurs NAS. Ce programme Bug Bounty est une initiative qui invite des experts en sécurité (mais aussi les amateurs comme vous et nous) à trouver des failles de sécurité en échange d’une récompense. Cela permet de découvrir des vulnérabilités de sécurité avant qu’elles ne soient exploitées par des cybercriminels, tout en encourageant les experts à signaler ces failles de manière responsable. Aussi, ils peuvent signaler les vulnérabilités qu’ils découvrent, sans craindre des poursuites judiciaires.
Bug Bounty Synology : Fabien nous raconte comment il a gagné 3000$…
Pour l’utilisateur final, le Bug Bounty est un gage de sérieux des fabricants et des éditeurs de solutions dont la sécurité est au cœur de leur préoccupation. Ce type de programme encourage les fabricants à corriger rapidement les failles de sécurité signalées, ce qui garantit une protection continue des utilisateurs. Enfin, le programme Bug Bounty est aussi bénéfique pour ceux qui découvrent les failles. En effet, ils peuvent recevoir une récompense financière pour les rapports de vulnérabilités qu’ils soumettent, ce qui les encourage à signaler de manière responsable les failles de sécurité qu’ils découvrent.
Où se renseigner ?
Les programmes Bug Bounty de Synology et QNAP sont des initiatives importantes pour améliorer la sécurité de nos NAS. En permettant de signaler de manière responsable les failles de sécurité découvertes, les fabricants peuvent découvrir des vulnérabilités potentielles avant qu’elles ne soient exploitées par des cybercriminels. Pour les utilisateurs de NAS, ce type programme offre une protection contre les vulnérabilités de sécurité… si les mises à jour sont fournies et installées ! Les chercheurs en sécurité peuvent recevoir une récompense financière plus ou moins importante en fonction de leurs découvertes. En résumé, un programme Bug Bounty est une initiative gagnant-gagnant qui renforce la sécurité des données des NAS et leurs utilisateurs.
Si vous souhaitez en savoir plus, voici la page Security Bug Bounty de Synology et celle pour QNAP Security Bounty. Les primes peuvent atteindre jusqu’à 20 000$ et c’est ouvert à tous.