Récemment, plusieurs alertes de sécurité ont été remontées par les principaux fabricants de NAS. Même si rien n’indique que ces failles aient été exploitées, il est fortement recommandé d’appliquer les mises à jour disponibles pour le système… et les applications ! Mais que faire lors le constructeur ne fait pas d’effort ? Il existe des solutions.
Pourquoi et comment mettre à jour son NAS ?
Vous le savez certainement (mais il est toujours bon de le rappeler), maintenir son NAS à jour est essentiel pour assurer sa sécurité. La sauvegarde régulière des données est primordiale, mais l’installation des mises à jour du système et des applications permet de corriger des failles de sécurité potentielles.
Les fabricants publient régulièrement des mises à jour, parfois pour ajouter de nouvelles fonctionnalités, mais aussi pour combler des vulnérabilités. Pour les applications (natives ou de sources tierces), c’est la même chose…
Note : si vous utilisez Docker, pensez également à mettre à jour vos images et conteneurs 😉
Les risques liés aux failles de sécurité
Ces derniers mois, plusieurs vulnérabilités ont été découvertes et corrigées par les constructeurs. Leur exploitation pourrait avoir des conséquences sérieuses :
- Élévation de privilèges ;
- Exécution de code arbitraire ;
- Vol de données ;
- …
Certaines failles sont classées critiques. Il faut donc mettre à jour votre NAS ! Bonne nouvelle, ces correctifs sont gratuits. Il serait dommage de s’en priver.
Quand installer une mise à jour ?
Toutes les mises à jour ne se valent pas. Voici quelques recommandations :
- Mises à jour critiques : appliquez-les rapidement, idéalement dans les 48 heures. Attendre permet de s’assurer qu’aucun bug majeur n’a été signalé… mais n’attendez jamais plus d’une semaine si votre NAS est accessible depuis Internet.
- Mises à jour mineures (compatibilité avec de nouveaux SSD, améliorations visuelles…) : vous pouvez patienter plusieurs jours avant de les installer.
Note : on n’oublie pas de faire des sauvegardes régulièrement 🙂
Que faire si votre NAS n’est plus mis à jour ?
Lorsqu’une faille est détectée, les fabricants publient rapidement un correctif pour la dernière version du système (DSM, QTS, ADM…). Malheureusement pour les anciennes versions, cela peut-être très long… voire ils ne sont jamais mis à jour.
Si votre NAS contient des données sensibles (et c’est presque toujours le cas), voici quelques mesures à adopter si aucune mise à jour de sécurité n’est proposée :
- Ne l’exposez pas directement à Internet : désactivez la possibilité d’accéder au NAS depuis Internet ;
- Restez informé : consultez régulièrement les sites des constructeurs, les portails spécialisés comme Cachem ou Forum des NAS, ainsi que les réseaux sociaux ;
- Contactez le support du fabricant : signalez le problème afin d’encourager une correction.
Note : si vous devez absolument accéder à vos données à distance, mettez en place un serveur VPN (WireGuard, OpenVPN…) sur un périphérique tiers : routeur/box, Raspberry Pi, mini-PC… mais pas sur le NAS.
En synthèse
La mise à jour régulière de votre NAS et de ses applications est une nécessité pour prévenir les risques de sécurité. Cependant, toutes les failles ne sont pas liées à une exposition en ligne. Nous vous recommandons de limiter l’accès direct depuis Internet à votre NAS.
Enfin, une veille active est indispensable pour rester informer des correctifs et des recommandations en matière de sécurité. Un NAS non mis à jour peut devenir une cible facile. Faites les mises à jour régulièrement !