Entre le lancement du DSM 5.0 en version finale, la prise en charge de la clé HDMI Chromecast et les failles de sécurité, l'actualité autour de Synology est relativement chargée. Suite à notre actualité sur celle touchant le serveur VPN, le constructeur a répondu à nos questions.
Quasiment coup sur coup, Synology a dû faire face à deux failles de sécurité relativement importantes. Le gestionnaire de fichiers du DSM 4.3 dans un premier temps, ainsi que le serveur VPN plus récemment. Nous avions alors interrogé le constructeur sur ce dernier point afin d'avoir de plus amples informations, voici ses réponses.
Une réaction tardive car cette faille n'avait pas été identifiée comme critique
Tout d'abord sur le délai de mise en place du correctif qui nous semblait relativement long puisque la faille avait été découverte et détaillée au début du mois de décembre sur son propre forum. Le constructeur nous confirme que, effectivement, « nous avons réagi assez tard, et nous avons mis en place de nouveaux process après avoir analysé ce qu'il s'est passé. Même si nous avons corrigé la faille le 9 janvier 2014, nous n'avons pas identifié ce cas comme étant une mise à jour critique sur laquelle nous devions communiquer dans l'immédiat. Cela a été traité comme un correctif de bug lambda et le process haute priorité pour ce patch de sécurité n'a pas été activé ».
Contrairement à la faille du gestionnaire de fichiers qui touchait l'ensemble des NAS équipés du DSM 4.3, celle-ci ne concerne que les utilisateurs qui ont fait la démarche d'installer l'application VPN Server, ce qui limite le nombre de NAS potentiellement touchés. Néanmoins, pour ceux qui ont activé le VPN les conséquences pouvaient rapidement devenir importantes puisque n'importe qui pouvait alors se connecter avec les identifiants « root / synopass », un point qui selon nous aurait mérité un traitement plus rapide de la part du fabricant.
Le DSM 5.0 n'est pas touché
La bonne nouvelle c'est que la faille ayant été corrigée avant la mise en ligne du DSM 5.0 finale, cette mouture n'est pas du tout touchée. Synology nous précise que le serveur VPN ayant été introduit avec le DSM 4, les versions précédentes ne sont pas touchées et n'ont donc pas besoin d'être mises à jour.
En guise de conclusion, le fabricant ajoute que « dans un souci d'amélioration et de toujours mettre en avant les problèmes de sécurité comme des top-priorités, nous avons mis en place un contact dédié exclusivement à la sécurité : [email protected] ». Pour rappel, cette initiative a été mise en place lors de la dernière mise à jour du DSM 4.3.
Au final, Synology a donc dû faire face à deux failles relativement importantes, quasiment coup sur coup, une première pour la société taiwanaise qui était jusqu'à présent relativement épargnée. Si la réaction fut rapide dans le premier cas, il y a tout de même bien eu cafouillage dans le second. Les yeux (et les attaques potentielles) sont désormais tournés vers le DSM 5.0.
Commentaires (6)
#1
En tout cas, j’aime bien leur transparence, leur analyse de ce qu’ils ont identifié après coup comme un problème et les éléments mis en place pour éviter que cela ne se reproduise, en particulier l’adresse e-mail spécifique pour les problèmes de sécurité.
#2
J’espère que cette boite continuera d’avancer en ce sens.
Elle est réactive et se pré-occupe de sa clientèle c’est hélas si rare maintenant.
J’espère également que le DSM Os restera gratuit et mis à jours sur l’ensemble des modèles de la marque.
Pour le VPN le problème sera vite régler si ce n’est pas déjà le cas.
Au passage la seule chose qui me fait ragé est que je suis à 3.5 Km du NRA, en fin de réseau donc pas de VDSL pour moi ni même de fibre optique.
Quand à numéricable c’est le même constat si se n’est pire.
Pourquoi je dis ça? pour l’upload. Mon NAS est accessible depuis son adresse IP et les services clouds également.
Je rêve d’un upload de 50 Mbps et non 320Kbps, ce qui me permettra d’avoir un vrai cloud personnel.
Heureusement je ne suis pas propriétaire des lieux donc je vais sûrement me poser au plus prêt du NRA ou de la fibre optique.
#3
Le pass root est lié au pass administrateur, qui est un alias apriori,
si le password admin est modifié le password root devient identique,
est ce que la faille s’appliquait aussi dans ce cas là,
ou juste lorsque le mot de passe par défaut avait jamais été modifié!?
Car contrairement au bulletinhttp://www.kb.cert.org/vuls/id/534284
jamais remarqué que le root était non modifiable,
ou alors pas testé quand il fallait si il y a eu un correctif de se côté aussi….
Dans ce cas là (même si l’accès au compte local depuis le VPN n’est pas normal) la connexion en root n’était pas possible à part avec les mot de passe par défaut.
#4
celle-ci ne concerne que les utilisateurs qui ont fait la démarche d’installer l’application VPN Server ET qui utlilise PPTP ou OpenVPN.
" />
L2TP/IPSec utilise une clé de crytage, avoir un compte ne suffit pas a se connecter en VPN.
Et particulièrement avec PPTP faut vraiment avoir envie ..
#5
#6
Et ça suppose aussi que l’on utilise les scripts stupides de Synology pour que la faille se manifeste.
Faire tenir la sécurité d’un VPN que un simple mot de passe est évidemment complètement idiot d’un point de vue sécurité, en tout cas on est dans un mode dit “authentification faible”, ce qui est fort paradoxal pour un VPN !..
De mon côté, j’ai juste mis le package pour avoir OpenVPN d’installé et j’ai fait mes propres fichiers de configuration qui reposent sur des certificats que j’ai fabriqués moi-même.
Du coup, pas de faille… mais bon, comme je suis de toute façon resté en DSM4.2 (la 4.3 et la 5.0 ne m’apportent aucune fonction qui m’intéresse à ce jour), pas sûr que la “faille” existe dans cette version.