Synology, Qnap, Asustor… faites les mises à jour de votre NAS

Récemment, tous les constructeurs ont émis des alertes concernant d’éventuelles failles de sécurité. Bien qu’ils ne précisent pas si ces dernières ont été exploitées, il est fortement recommandé d’appliquer les mises à jour correspondantes : applications et systèmes embarqués.

update NAS

NAS à jour = protection optimale

Cet article concerne tous les utilisateurs, mais les plus aguerris connaissent la chanson. Il est important de rappeler quelques règles. Au-delà de la sauvegarde des données du NAS, il est également très important de le maintenir à jour. Régulièrement, les principaux fabricants de NAS proposent des mises à jour pour leur système embarqué (système d’exploitation et fonctions de base) durant de nombreuses années. Bien que la plupart du temps, ces mises à jour apportent des améliorations et/ou de nouvelles fonctionnalités, elles peuvent également combler des failles de sécurité. Cela vaut également pour les applications du fabricant que pour celles d’autres sources.

En ce début de l’année 2024, les principaux fabricants (Synology, Qnap, Asustor) ont été impactés et ils ont fourni un correctif. Si le risque n’était pas le même pour tous, l’exploitation de l’une de ces failles pourrait avoir des conséquences très importantes. Les types de failles de sécurité peuvent être multiples : élévation de privilèges, exécution de code arbitraire, fuite de données, etc. L’impact potentiel de ces failles peut être extrêmement critique.

Il est donc important de mettre à jour régulièrement son NAS (y compris les applications), d’autant plus que ces mises à jour sont gratuites. Mais au-delà des correctifs fournis, il est aussi crucial de respecter quelques règles à mettre en place sur son NAS. Je vous renvoie à cet ancien article, qui malgré les années, demeure d’actualité.

Sécurité NAS 10 conseils sécurité pour votre NAS

Faille détectée, mais pas de mise à jour

Quand une faille de sécurité est détectée dans un système, le fabricant est généralement rapide à fournir un correctif… enfin, surtout sur la version du système impacté (ou plus généralement la dernière version). Nous le constatons encore aujourd’hui, les fabricants mettent très rapidement à jour la dernière version de leur système (DSM, QTS, ADM), mais tardent trop souvent à mettre à jour les versions antérieures. Exemple : DSM 6.2.4 ne bénéficie pas du même traitement que DSM 7.2. Bien que cela puisse sembler logique (priorité aux modèles les plus récents), cela soulève néanmoins des questions pour ceux qui ne peuvent pas ou ne souhaitent pas passer à la nouvelle version majeure.

Que faire alors ?

Si votre NAS contient des données sensibles, avec une faille de sécurité connue et qu’il n’a pas le droit à une mise à jour… il est préférable de ne pas le rendre accessible directement depuis Internet. Je ne suggère pas de le débrancher, mais plutôt de ne pas/plus l’exposer sur Internet. Ce n’est pas une règle absolue, car toutes les failles ne sont pas nécessairement liées à une exposition sur Internet. On l’a encore vu le mois dernier, une faille pouvait être exploitée uniquement depuis un réseau local.

Bien sûr, je vous recommande de suivre régulièrement Cachem, le Forum des NAS avec les pages des constructeurs (des représentants des fabricants sont présents), les sites Web des fabricants ou encore les réseaux sociaux.

Si un fabricant tarde à mettre à jour son système ou son application, n’hésitez pas à le contacter via son formulaire de contact (support).

En synthèse

Vous l’avez compris, il est important de mettre à jour son NAS et ses applications pour prévenir des risques de sécurité, grâce aux correctifs fournis par les fabricants. Cependant, il est également essentiel de limiter l’accès direct depuis Internet aux NAS contenant des données sensibles, en gardant à l’esprit que toutes les failles ne sont pas nécessairement liées à une exposition en ligne. Une veille régulière est indispensable dans ce domaine pour rester informé des dernières actualités et recommandations en matière de sécurité.