Entre le lancement du DSM 5.0 en version finale, la prise en charge de la clé HDMI Chromecast et les failles de sécurité, l'actualité autour de Synology est relativement chargée. Suite à notre actualité sur celle touchant le serveur VPN, le constructeur a répondu à nos questions.
Quasiment coup sur coup, Synology a dû faire face à deux failles de sécurité relativement importantes. Le gestionnaire de fichiers du DSM 4.3 dans un premier temps, ainsi que le serveur VPN plus récemment. Nous avions alors interrogé le constructeur sur ce dernier point afin d'avoir de plus amples informations, voici ses réponses.
Une réaction tardive car cette faille n'avait pas été identifiée comme critique
Tout d'abord sur le délai de mise en place du correctif qui nous semblait relativement long puisque la faille avait été découverte et détaillée au début du mois de décembre sur son propre forum. Le constructeur nous confirme que, effectivement, « nous avons réagi assez tard, et nous avons mis en place de nouveaux process après avoir analysé ce qu'il s'est passé. Même si nous avons corrigé la faille le 9 janvier 2014, nous n'avons pas identifié ce cas comme étant une mise à jour critique sur laquelle nous devions communiquer dans l'immédiat. Cela a été traité comme un correctif de bug lambda et le process haute priorité pour ce patch de sécurité n'a pas été activé ».
Contrairement à la faille du gestionnaire de fichiers qui touchait l'ensemble des NAS équipés du DSM 4.3, celle-ci ne concerne que les utilisateurs qui ont fait la démarche d'installer l'application VPN Server, ce qui limite le nombre de NAS potentiellement touchés. Néanmoins, pour ceux qui ont activé le VPN les conséquences pouvaient rapidement devenir importantes puisque n'importe qui pouvait alors se connecter avec les identifiants « root / synopass », un point qui selon nous aurait mérité un traitement plus rapide de la part du fabricant.
Le DSM 5.0 n'est pas touché
La bonne nouvelle c'est que la faille ayant été corrigée avant la mise en ligne du DSM 5.0 finale, cette mouture n'est pas du tout touchée. Synology nous précise que le serveur VPN ayant été introduit avec le DSM 4, les versions précédentes ne sont pas touchées et n'ont donc pas besoin d'être mises à jour.
En guise de conclusion, le fabricant ajoute que « dans un souci d'amélioration et de toujours mettre en avant les problèmes de sécurité comme des top-priorités, nous avons mis en place un contact dédié exclusivement à la sécurité : security@synology.com ». Pour rappel, cette initiative a été mise en place lors de la dernière mise à jour du DSM 4.3.
Au final, Synology a donc dû faire face à deux failles relativement importantes, quasiment coup sur coup, une première pour la société taiwanaise qui était jusqu'à présent relativement épargnée. Si la réaction fut rapide dans le premier cas, il y a tout de même bien eu cafouillage dans le second. Les yeux (et les attaques potentielles) sont désormais tournés vers le DSM 5.0.
