Protégez votre NAS : attaques en cours

Alors que la canicule s’en est allée, les fabricants de NAS ont des sueurs froides. En effet, des attaques de grandes ampleurs sont en cours. Pour une première fois, il semble que les hackers aient décidé de se focaliser sur les NAS (dont Synology, Qnap et Asustor). L’attaque semble être de type Brute-force, mais passerait sous les radars. Une fois l’attaquant entré dans le NAS, il va chiffrer/crypter les données et réclamer une rançon (en bitcoin). Il est important de rappeler les règles simples que nous devons tous appliquer sur nos NAS afin d’éviter ce genre de problème.

Mot de passe fort

L’attaque en cours serait de type Brute-force. C’est-à-dire que l’attaquant va tenter des milliers de mots de passe pour tenter de trouver le votre. Pour cela, il utilise un petit logiciel disposant d’un dictionnaire avec les mots de passe les plus utilisés. C’est automatique…

Plus votre mot de passe est compliqué, plus ce sera difficile pour lui de le trouver (voire impossible). Le premier rempart, c’est d’avoir un mot de passe fort. Il doit être d’une longueur de 8 caractères minimums avec au moins une lettre en majuscule, une lettre en minuscule, un chiffre et un caractère spécial. Personnellement, mes mots de passe font en moyenne 12 caractères et je les change de temps à autre. Pas facile de tout retenir, je vous l’accorde… mais on parle ici de vos données personnelles (ou professionnelles) les plus précieuses. Comme pour votre compte bancaire en ligne, c’est celui que vous devez retenir en priorité et surtout ne pas l’enregistrer dans votre navigateur.

Désactiver le compte admin

Pour que l’attaquant puisse se connecter à votre NAS, il lui faut un identifiant et un mot de passe. Je vous recommande de créer un utilisateur avec les droits administrateur et de désactiver le compte admin… car c’est bien ce dernier qui est visé par défaut lors des attaques. Si vous ne pouvez pas le désactiver, choisissez un mot de passe ultra-fort et utilisez-le que lorsque vous en avez vraiment besoin.

Blocage automatique

Tous les fabricants soucieux de la sécurité proposent une option de blocage automatique lorsqu’il y a trop de tentatives de connexion infructueuses (3 ou 5 par défaut suivant le fabricant en moins de 5 minutes). Le blocage est fait au niveau de l’adresse IP de l’attaquant. C’est une option que je vous recommande vivement d’activer. Si vous avez peur de vous bloquer vous-même, vous pouvez mettre l’adresse IP de votre ordinateur en liste blanche.

BONUS

Normalement, avec les recommandations ci-dessus, vous devriez être un peu plus en sécurité concernant l’attaque en cours… mais il est possible de faire plus. Il y a plusieurs années, j’avais déjà rédigé un guide avec 10 conseils sécurité pour votre NAS. Je vous recommande de le lire si ce n’est pas déjà fait… aussi voici un extrait :

Firewall / pare-feu

Si ce n’est pas déjà le cas, activez le firewall de votre NAS et n’ouvrez que les services dont vous vous servez réellement. Si vous avez un doute, bloquez l’accès. Plus vous exposez votre NAS, avec des services divers et variés, plus vous avez des risques de subir une attaque. Ne l’exposez pas pour des services inutile ou utilisé que ponctuellement. Il est facile d’activer ou désactiver une application depuis le firewall.

Antivirus

Les fabricants proposent un ou plusieurs antivirus pour leurs NAS. Il y en a au moins un gratuit. Ce n’est peut-être pas le plus performant du marché, mais il vous permettra que lancer une analyse complète de vos données pour s’assurer que vos données ne contiennent pas un virus ou autres malwares.

Sauvegarde

Pensez à faire une sauvegarde régulièrement de vos données les plus sensibles, que ce soit dans un Cloud, sur une clé USB, un disque dur… Bref, faites des sauvegardes (règle de sauvegarde 3-2-1).

Mise à jour régulièrement

Sans rentrer dans le détail, certaines failles exploitées ses dernières semaines seraient corrigées depuis plusieurs mois/années. La simplicité voudrait qu’il suffit de mettre à jour le logiciel interne du NAS. Malheureusement, c’est un peu plus compliqué. Dans la majorité des cas, la mise à jour est recommandée. Si vous étés de nature prudente et que vous préférez attendre les premiers retours des utilisateurs, n’attendez pas trop et scrutez les forums. N’attendez jamais plus d’un mois avant d’appliquer une mise à jour de sécurité, surtout si votre NAS est accessible depuis l’extérieur. Cela vaut pour tout le monde.

En entreprise, vous avez peut-être une application métier qui nécessite de fonctionner sur une version précise. Contrôlez si cette dernière dispose d’une mise à jour au préalable… si c’est le cas, faites la mise à jour (ça vaut pour tous). Si ce n’est pas le cas, il faudra peut-être penser à l’isoler dans une machine virtuelle (ou dans un conteneur).

Remarque : Si vous ne pouvez/souhaitez pas mettre à jour votre NAS, alors vous vous exposez à des risques… surtout s’il accessible via Internet. Cela limitera les  risques… limiter, car cela n’empêchera pas les attaques depuis votre réseau.

Conclusion

Avec ces quelques astuces, vous allez pouvoir dormir l’esprit tranquille. Si vous ne pouvez faire toutes les opérations citées ci-dessus ou si vous avez des doutes, désactiver l’accès au NAS depuis l’extérieur (oui, j’insiste un peu). Si vous avez absolument besoin d’accéder à votre NAS depuis l’extérieur… passez par un VPN privé (pas NordVPN, Cyberghost ou un autre mais votre propre VPN installé sur votre réseau) !

  1. Merci pour cette article. J’ai constaté une attaque sur mon n’as Qnap il y a une semaine. Heureusement elle n’a pas abouti. Je vais me servir de vos conseils pour améliorer la sécurité.

  2. Merci pour ces astuces. Une question cependant. Est-ce qu’activer la vérification en deux étapes permet néanmoins de subir une de ces attaques ?

  3. Bonjour. Effectivement cela fait 3 jours que le compte admin de mon NAS Synology est attaqué. Comme il est désactivé et que le compte administrateur actif est en double authentification, je ne suis pas inquiet. En revanche, cela me génére un mail automatique de blocage toutes les 2 heures que je n’arrive pas à désactiver. Si quelqu’un sait qu’elle case cocher dans panneau de configuration / conseiller sécurité, je suis preneur.

    1. Salut,
      Si tu es sur Synology , dans Panneau de config, Notification, Avancé , Systeme, tu as blocage IP, je pense que c’est sa 🙂

  4. Je suis chez votre VPN mentionné – NordVPN, parce que la sécurité en ligne est un sujet important pour moi. Je l’utilise pour chiffrer mon trafic Internet est se protéger contre les hackers.

  5. Bonjour, j’ai en effet constaté plus de 1000 attaques sur mon NAS Syno vendredi soir et samedi matin. Toutes les attaques ont été bloquées et les adresses blacklistées MAIS ca foutais le binz sur le NAS ! toutes ces attaques etaient faites en brut Force en effet sur le compte Admin qui est désactivé chez moi. Et pour eviter le blacklistage ils n’essayaient que 2 fois par attaquant. Mais il y a des centaines d’adresses ip de tous les pays qui arrivaient. La solution a mon probleme a été de changer le port. En effet le port par défaut etait utilisé (5000 en http et 5001 en https).
    A suivre !

    1. Pareil que toi le WE du 20-21/07, 1 tentative par IP des milliers de fois donc impossible de les blacklister. Même solution couper la redirection du 5000 (ce qui aurait être fait plutôt d’ailleurs :p ) A mon avis ce sont des PC infectés qui servent entre autres à miner sans le savoir…

  6. Sinon désactivez la réponse au ping sur la Box/routeur internet (en plus du changement des NAT par défaut, ex redirigé le TPC 3322 vers le 22, déjà dit, mais efficace) ça réduit aussi considérablement les attaques, pas de ping -> les robots d’internet continuent le scan d’ip jusqu’à la prochaine cible qui répond 😉

  7. Meme souci d’attaque pour moi aussi, ils attaque sur le 5001, j’ai coupé la redirection, et du coup ça ma motivé a démarrer le VPN sur mon routeur (avec double authentification)
    Donc maintenant seul le port du VPN est accessible depuis l’exterieur (port a la con), je devrais etre tranquille ?

  8. J’ai moi aussi subit ces attaques il y’a quelques semaines. Je comprends mieux pourquoi merci 🙂

    Du coup j’avais modifié les port 5000 et 5001, bloqué les ip non Françaises et activé la double identification.

    Depuis plus aucun problème.

  9. Perso j’ai déjà eu plusieurs attaque de Russie et cela quasiment qq jours après l’installation de mon NASS 918+. C’est l’étape obligatoire après une installation avant même d’envisager autre chose.

  10. Bonjour, j’ai été victime de plusieurs attaques comme mentionné dans l’articles, je n’avais pas fait attention plus que ça à mon DD réseau (Asustor AS1002T) depuis un moment. ce matin je regarde le journal du DD et je remarque les tentatives d’accès via le protocole SFTP avec la session Admin. c’est impressionnant le nombre de fois qu’ils ont essayés de se connecter nous sommes en d’Avril 2021, la première tentative date de Septembre 2020, plus de 18 000 adresse IP on été envoyé sur la liste noire automatique par le défenseur réseau ADM Defender…

  11. j’avais aussi sur un nas Qnap le meme souci ça commencé le jour d’apres son installation, une liste d’adresse ip bloquées qui s’allongeait chaques jours, par contre depuis une semaine j’ai environ 2000 tentatives de connexion sur le compte admin (deja désactivé) mais environ 1 ou 2 attaques toutes les minutes depuis une adresse IP différente a chaque fois, c’est assez genant que ça genere de l’activité sur mon nas qui du coup devient bruyant tout le temps !!

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.