Piratage des NAS WD My Book Live

Des propriétaires de WD My Book Live ont vu leurs données effacées du jour au lendemain. Si un tel évènement est assez rare, il existe malheureusement. Il est important de rappeler quelques règles : mettre à jour son NAS, un RAID n’est pas une sauvegarde, ne pas rendre son NAS accessible sur internet sans contrôle… Pour le moment, Western Digital recommande à ses clients de débrancher leurs WD My Book Live et My Book Live Duo !

WD My Book Live piraté ?

Tout d’abord, il est important de rappeler que les WD My Book Live ne sont plus mis à jour depuis 2015. Il n’y a plus de support pour ces produits depuis longtemps. Une règle importante que nous vous rappelons régulièrement ici : tout appareil informatique accessible depuis internet doit être mis à jour régulièrement. Un NAS non mis à jour depuis plus de cinq ans ne doit pas être exposé/accessible directement depuis internet. C’est valable pour tous les fabricants du marché : Synology, Qnap, Asustor, etc. Aucun système n’est infaillible, mais on peut en limiter les risques.

Tout est parti d’un message sur le forum officiel WD : « J’ai un WD mybook live connecté à mon réseau local et qui fonctionne bien depuis des années. Je viens de découvrir que toutes les données qu’il contenait ont disparu aujourd’hui, alors que les répertoires semblent être là mais vides. Auparavant, le volume 2T était presque plein, mais maintenant il affiche une capacité complète. » Malheureusement, il a été rejoint par d’autres : « Toutes mes données ont disparu aussi ».

Sur son site officiel et les réseaux sociaux, le fabricant recommande aux utilisateurs de débrancher leur appareil du réseau. Les ingénieurs Western Digital travaillent à la recherche de la cause de cette attaque d’envergure. Un communiqué annonce que « Les fichiers journaux que nous avons examinés montrent que les attaquants se sont directement connectés aux appareils My Book Live concernés à partir d’une variété d’adresses IP dans différents pays » mais l’attaque ne s’est pas limitée à la suppression des données « les attaquants ont installé un cheval de Troie avec un fichier nommé « .nttpd,1-ppc-be-t1-z » ».

L’UPnP serait en cause

Les WD My Book Live sont des outils populaires et très simples d’utilisation. Les disques durs sont déjà préinitialisés. On branche le câble réseau et le secteur… c’est tout. Comme tout NAS, ils peuvent être accessibles à distance. Afin de faciliter l’accès, ces boîtiers utilisent plusieurs ports réseau. Si votre Box opérateur ou routeur le permet, une redirection se fera automatiquement : UPnP. L’UPnP c’est le mal. Sous couvert de vous simplifier la vie, ce service présent sur de nombreux systèmes peut ouvrir un port et le rediriger vers un appareil de votre réseau. Rassurez-vous, l’opération n’est pas irréversible, il est possible sur chaque Box de désactiver l’UPnP et de supprimer les redirections.

Les propriétaires de WD My Book, sans UPnP sur leur Box/routeur, ne seraient pas victimes de cette attaque d’envergure mondiale.

Que faire si je suis victime de l’attaque ?

Si votre NAS a été réinitialisé et que les données ont été supprimées, éteignez-le immédiatement. Tout n’est pas perdu, il est possible de récupérer quelques données. Sortez un disque dur et insérez-le dans un boîtier externe ou dock USB. Raccordez ce dernier à votre PC et tentez une récupération des données avec ces 2 outils gratuits :

Pour terminer, sachez que le forum des NAS dispose d’une section pour les NAS Western Digital et que la communauté pourra vous aider…