NAS : Failles de sécurité, faut-il s’inquiéter ?

J’ai récemment lu plusieurs articles sur la sécurité des NAS qui m’ont fait beaucoup rire… puis pleurer. Ces derniers avaient des titres provocateurs : « Sécurité : Les NAS sont de véritables passoires » ou « Les innombrables failles des serveurs NAS fragilisent grandement la Toile » et j’en passe… Oui, le titre doit vous faire peur, c’est très important. Ces articles ne sont pas très recherchés ou pas assez documentés. Malheureusement, ces journalistes travaillent dans des rédactions à forte visibilité. Je vous laisse imaginer l’impact…

Avant de jeter votre NAS par la fenêtre, je pense qu’il faut encore (et encore) parler de sécurité… Oui, c’est important.

hacker

Tout d’abord, il faut partir d’un postulat simple… Aujourd’hui, aucun système n’est infaillible (ordinateur, tablette, smartphone, routeur, box, tv, etc). Même votre clé USB peut être exploitée à vos dépens. C’est malheureux, mais c’est ainsi. Celui qui vous annonce le contraire… est soit un menteur, soit un ignorant (ou peut-être les deux).

Alors je vous rassure, ce n’est pas parce que votre système est faillible que des brigands 2.0 vont venir regarder vos photos de vacances puis les effacer. Ce n’est pas aussi simple…

La sécurité et les NAS

On parle de plus en plus de sécurité et notamment pour les NAS… et c’est une bonne nouvelle. En effet, plus on parle de ce sujet, plus les utilisateurs (et les constructeurs) seront sensibilisés aux risques. Attention à ne pas tomber dans la paranoïa…

Heartbleed et Shellshock ont impacté tous les constructeurs de NAS, sans vraiment savoir si ces failles étaient (ou ont pu être) vraiment exploitée… Mais le plus important, c’est que les principaux constructeurs ont mis à jour rapidement leurs boitiers pour la sécurité de nos données. Oui, certains constructeurs n’ont pas proposé de mise à jour et pourtant leurs NAS sont vulnérables.

Il faut arrêter de croire ce que certains marketeux tentent de nous faire croire… La mise en place de règles de sécurité ne prend pas 5 minutes. C’est totalement FAUX. J’ai tenté de faire un petit guide : 10 conseils sécurité pour votre NAS. Il s’agit là de petits conseils accessibles à tous, permettant de découvrir et de mettre en place quelques règles simples. Un second article est en cours de réflexion…

Si aucun système n’est à l’abri, quel intérêt d’avoir un NAS ? Je vous rassure, il y a de nombreux avantages à avoir un NAS : Stockage, Partage et Sécurisation des données. Mais il faut faire attention…

« Avez-vous vraiment besoin d’accéder à votre NAS en dehors de chez vous ? » Si vous hésitez plus de 10 secondes à cette question, c’est que vous n’en avez pas besoin. Car c’est bien par cette porte ouverte sur Internet, que les personnes mal intentionnées vont tenter de rentrer dans votre NAS. Si vous ouvrez celui-ci, assurez-vous d’avoir bien mis en place des règles de sécurité strictes (HTTPS, blocage automatique d’IP, ouverture des ports vraiment nécessaires, antivirus, mot de passe fort, etc.). Et pour les autres ? Appliquez les mêmes règles, ça ne fera pas de mal 😉

hackers

Failles de sécurité dans tous les sens ?

J’ai bien sûr lu les articles concernant Jacob Holcomb, chercheur spécialisé en sécurité. Il aurait trouvé pas moins de 22 CVE (Common Vulnerabilities and Exposures) dont certaines failles permettraient d’obtenir un contrôle total du NAS. Rien de vraiment étonnant quand on sait que certains NAS grand public (et pas cher) permettent de se connecter en root (utilisateur disposant de tous les droits) sans aucun mot de passe. Oui, ce dernier est à vide. D’autres constructeurs ne maintiennent pas leur logiciel interne et donc les NAS ne bénéficient jamais de corrections de sécurité. D’après les articles lus, il s’agirait d’attaque sur un réseau local et non depuis l’extérieur (Internet). Jacob Holcomb n’a pas détaillé ses exploits et on peut le comprendre…

Est-ce grave ? Non, bien au contraire… car même si Jacob Holcomb a mis à mal certains NAS, il a surtout contacté les constructeurs pour leur faire par de ses trouvailles. Espérons que ces fabricants de NAS donnent suite et surtout corrigent leurs petits boitiers.

On notera que Jacob Holcomb ne s’est pas encore attaqué au NAS Synology (ou qu’il n’a pas encore trouvé de faille).