Si vous avez un disque dur externe My Book Live ou Live Duo de Western Digital, déconnectez-le d’Internet au plus vite sous peine de voir disparaitre toutes les données qu’il contient. C'est le conseil du fabricant qui indique avoir ouvert une enquête. Aucun correctif n’est pour le moment disponible.
Suite à plusieurs retours d’utilisateurs sur son forum, WD recommande à ceux disposant d’un My Book Live (2010) ou Live Duo avec deux emplacements (2012) de les déconnecter d’Internet dès que possible. Le risque est important puisqu’un « logiciel malveillant » peut conduire à une restauration des paramètres d’usine… avec une perte totale des données à la clé. Un scénario catastrophe, aucune intervention de l’utilisateur n’étant nécessaire.
Pas de mise à jour depuis 2015… malgré une faille en 2018
Inutile de vous ruer sur le site du fabricant pour vérifier que vous avez bien la dernière mise à jour pour le moment, car le dernier firmware en date remonte à… 2015. Cela fait donc six ans que WD n’a pas déployé le moindre correctif de sécurité, autant dire une éternité dans le monde de l’informatique.
Pourtant, une faille de sécurité critique – un score de 9,8 sur 10 – portant la référence CVE-2018-18472 a été signalée en 2018. Exploitable à distance, elle permet à n’importe quelle personne disposant de l’adresse IP du NAS « d'exécuter des commandes sur l'appareil en tant que root ». Elle n’a pas été corrigée jusqu’à maintenant.
« On pense qu'un acteur malveillant a effectué une recherche globale sur Internet pour trouver des appareils vulnérables, et a utilisé cette brèche pour lancer la commande de réinitialisation d'usine », explique Bleeping Computer qui a repéré la faille.
L’importance de faire des sauvegardes
De son côté, Western Digital se contente d’une déclaration bateau : « Nous enquêtons activement et nous fournirons des mises à jour au fur et à mesure qu’elles seront disponibles ». Dans tous les cas, il ne semble guère y avoir d’espoir de récupérer les données effacées. La question de la responsabilité de la marque devrait rapidement se poser.
C’est l’occasion de rappeler qu’il faut penser à régulièrement vérifier si son matériel est à jour et, suivant les cas, se poser la question des risques en cas de panne ou de faille : cela n’arrive pas qu’aux autres. Concernant les sauvegardes de vos données, la stratégie 3-2-1 permet de limiter les risques… avant qu’il ne soit trop tard !
Commentaires (44)
#1
Mais comment ont-il pu effectuer cette opération ? Les NAS étaient connectés directement au net
#2
En voyant cette erreur, j’ai cru que suite à cette news le site avait été victime de cette faille
#3
Ils connaissent la faille depuis plusieurs années … Ils se bougent qu’une fois qu’un pirate s’amuse à l’utiliser … c’est moche …
#4
Nous voulez vraiment un NAS ? pensez Qnap, Asustor ou Synology, pas WD.
#5
Cela ne m’étonne pas du tout. Nous vivons à une époque où les opérationnels ne sont jamais écoutés.
Les ingénieurs et techniciens sont juste vus comme des gens qui crient “au loup” sans cesse alors que les ennuient n’arrivent pas ou pas très souvent.
Si une class action pouvait leur mettre bien profond, cela pourrait devenir intéressant pour les joueurs de poker qui dirigent les boîtes de prendre en compte la sécurité. C’est juste une histoire de balance bénéfice/risque ou en anglais: “it’s just business”.
Au final, si les quelques pertes de WD sur le coup sont plus faibles que les gains apportés par leur inaction, le bilan donnera raison aux financiers.
#6
Cela ne change pas la problématique, un NAS qui n’est pas à jour est dangereux, tous les fabricants cités ont eu des soucis… et les fabricants ne fournissent pas de mises à jour éternellement. Donc globalement, un NAS n’a pas à être sur le net directement !
#7
En même temps, produit qui n’est plus fabriqué depuis 2014, plus supporté depuis 2015…
#8
Pas Asustor, c’est de la daube niveau logiciel (je sais de quoi je parle, j’ai un AS6604T…). Par exemple, le firewall ne fonctionne que sur l’IPv4, l’IPv6 est ouvert aux quatre vents.
#9
Une class action pour quel motif ? Le produit n’était officiellement plus supporté. Ce serait comme faire une class action contre Microsoft pour une vulnérabilité sur Windows XP en 2021
#10
On en revient à la définition de l’obsolescence programmée et le temps minimum de support qui paraisse raisonnable.
Chez Synology, les produits sont supportés 10 ans, ce n’est pas rien comparé à pas mal de produits technologiques.
Je viens de télécharger le manuel d’utilisation des My Book Live et le manuel date de septembre 2012. Le fait que le produit ne soit plus supporté depuis 2015 implique une durée totale de support de deux ans et quelques mois. On devrait jeter leurs produits après deux ans seulement ?
On peut conclure sans exagérer que WD se moque de ses clients.
#11
Un NAS est toujours connecté à internet pour deux raisons :
Ça permets de faire les mises à jour sans avoir à les télécharger sur un autre PC, les mettre sur une clé USB, qu’on branche sur le NAS, pour ensuite lancer la procédure, etc.
Idem sur les applis qu’on peut installer à la volée.
Faire en sorte qu’un appareil soit accessible sur le réseau local sans qu’il ait accès à internet est loin d’être facile, vu que le routeur ne fait pas vraiment de distinction entre les deux. C’est possible d’empêcher le NAS d’accéder à internet en ne l’autorisant à accéder qu’au sous-réseau correspondant au réseau local (ex. 192.168..) mais la plupart des routeurs ne le permettent pas et les NAS eux-même ne disposent pas forcément de cette fonction.
#12
#13
Sinon on met le NAS derrière un routeur, en n’ouvrant que le strict minimum des ports nécessaires - dans mon cas un port non standard pour le SSH histoire de pouvoir faire du rsync…
#14
Cela fait partie des fonctionnalités de certains NAS, que d’avoir un « cloud privé » accessible depuis n’importe où.
#15
En principe, la garantie pour vice caché est sans limite de durée. Certes, elle ne semble pas appliquée aux logiciels. Ce que l’on peut regretter.
#16
yup !
Après, WD est un fabricant de disque dur, pas un expert en sécurité. Ils n’ont peut être pas les talents et moyens à la hauteur de la compétition.
#17
Par défaut dans les box, les équipements peuvent accéder à internet, mais ne sont pas joignables de l’extérieur à moins d’ouvrir les ports adéquats. Ou alors les gens activent l’UPNP et laissent les équipements tout ouvrir et ils ne peuvent s’en prendre qu’à eux même.
#18
Il me semblait que c’était valable à l’époque d’IPv4.. Et que ce n’était absolument plus la règle avec IPv6.
Je dis une connerie ou pas ?
#19
Ta box a quand même un firewall en IPv6 (normalement…)
#20
Il va falloir comprendre que les utilisateurs de NAS ne sont pas tous des passionnés d’informatique et que “ouvrir un port sur un routeur” ou “créer des règles de pare-feu” leur parle autant que la physique des ondes gravitationnelles.
N’importe quel équipement électronique “connecté” rendu obsolète par son fabricant va présenter des failles de sécurité béantes dans le temps.
Alors que peut-on faire pour prévenir ce risque ?
Obliger les fabricants à notifier leurs clients que leur matériel est devenu obsolète ? (inefficace puisque le message sera ignoré par 99% des clients)
Imposer le déploiement d’une mise à jour qui supprime la passerelle de la configuration réseau de l’équipement, ou qui limite ses communications aux réseaux locaux IPv4 et IPv6 ? (10⁄8, 172.16⁄12, 192.168⁄16, 224⁄4, fe80::/10, fc00::/7, … enfin bref, vous avez compris).
Pour ma part, je pense très bien gérer la sécurité de mes NAS. Mais la complexité de configuration pour atteindre un niveau de sécurité qui me satisfait (nazi qualität) est totalement rédhibitoire pour un être humain normalement constitué.
Le cas WD est un cas d’étude qui fait poser de bonnes questions auxquelles les bonnes réponses sont loin d’être évidentes.
Pour ceux qui croient qu’un NAS d’une autre marque serait mieux sécurisé, soyez assuré qu’un NAS concurrent parfaitement à jour placé en DMZ par son utilisateur (oui, beaucoup de novices le font par simplicité d’accessibilité) ne fait pas long feu sur internet.
#21
C’est sympa de vouloir forcer les fabriquant à supporter les produits Ad vitam aeternam, ou de les faire brider les fonctionnalités du produit en fin de support…
Mais les gens sont quand même responsables de ce qu’ils font. Si tu n’y connais rien en informatique, tu ne vas pas installer un NAS (ou autre) tout seul. Et si tu le fais quand même, faut pas venir pleurer quand tu perds toutes tes données.
#22
Je ne vais pas m’étendre sur le fait que la translation d’adresse n’est pas une protection pour IPv4…
Pour répondre à la question: Oui et non, cela dépend des adresses IPv6 de ton NAS.
En IPv6, toute machine possède au moins une adresse privée non routable en fe80::/10 (qui n’est pas pratique car collée à un port réseau (syntaxes chiantes sur windows et linux). Là, aucun souci.
Si tu laisse ton NAS s’attribuer une adresse IPv6 automatiquement, il sera de fait accessible depuis l’extérieur car il va se constituer une adresse publique à partir du préfixe diffusé par ta box ou tout routeur IPv6. Là, il te faut la protection d’un pare-feux sur ton NAS et c’est en général facile à configurer.
Si tu lui donne une adresse ULA fd::/8 en mettant en place une machine linux avec Radvd, tu peux n’offrir les services du NAS qu’au réseau local.
En utilisant exclusivement les adresse ULA pour les services du NAS, aucun service n’est accessible depuis Internet et ton NAS peut se mettre à jour avec son adresse publique.
Il n’y donc qu’avec IPv6 que l’on peut vraiment sécuriser son réseau local.
#23
Les fabricants tels que WD vendent leurs produits avec une promesse de facilité, un peu comme si on disait: “on gère tout, regarde c’est super simple”. Tu ne peux pas demander à leurs clients après cela d’être responsables alors qu’on leur dit au moment de l’achat qu’ils n’ont pas besoin d’y comprendre quoi que ce soit.
Pour moi, les PC (ou MAC, peut importe), ne sont pas des machines simples et cela est vrai également pour tout ce qui gravite autour. De fait, il faut comprendre beaucoup de chose avant d’être au point sur ces sujets.
Pour moi, donc, les irresponsables sont ceux qui vendent cela comme facile et non les clients qui croient à ce discours marketing. Des irresponsables doublé d’escrocs avec l’abandon des produits à peine deux ans après leur lancement.
#24
Quand tu vois ce genre de gag ( https://www.nextinpact.com/lebrief/39153/8895-mise-a-jour-4-0-6-du-freebox-server—firewall-ipv6-et-corrections-de-bugs ) tu te dis que ce n’est pas forcément joué d’avance ^^
C’est dans ce sens que je disais cela. Il me semble qu’au début de la FBX Révolution justement, il n’y avait pas de F/W IPV6… non ?
#25
Ok pour toi et moi… Mais Dame Michu, saura-t-elle faire ce que tu décris ? Voire, aura-t-elle conscience qu’il faut le faire ?
Je pense toujours à ma vieille maman, toujours perdue et dépourvue de moyens face aux enjeux de sa toute simple vie numérique…
#26
Il ne s’agit pas de forcer les fabricants à supporter leur produits ad vitam mais de les forcer à les supporter pendant une durée raisonnable. Je pense que tout le monde est d’accord sur le fait que deux ans est bien trop court. J’imagine que 5 à 8 ans serait bien plus raisonnable.
Pour le reste de ton message, il me semble que l’on assiste à une baisse constante le la pénétration les ordinateurs dans les foyers depuis l’apparition des tablettes androidi / IOS. Cela illustre bien que les gens ont intégrés que les ordinateurs n’étaient pas à la portée de tout le monde.
#27
On est bien d’accord, c’est hors de portée pour pas mal de monde ; Même entre lecteurs de nextinpact et inpacthardware, il faut que l’on se refile les bons tuyaux, alors les autres …
#28
Justement, le marketing te vend un produit comme facile à utiliser, demandant 2 minutes à installer pour être utilisable. C’est plutôt séduisant, non ?
Le client est alors peut-être bête d’accorder sa confiance au marketing ?
#29
On est pas Trolldi… mais… c’est pour ça que pour ma vie numérique “habituelle”, j’utilise toujours mon vieil iPhone 6 toujours mis à jour, et ce encore il y a peu de temps, alors que, justement en parlant de ma pauvre maman, elle s’était faite “convaincre” d’acheter un Huawei P Smart 2019 en 2020, lequel ne verra semble-t-il jamais Android 11 et dont je ne suis pas certain qu’il obtienne encore longtemps les correctifs de sécurité.
Moi j’irai jusqu’à 10 ans… juste pour faire ch… et être à peu près certain qu’il respectent la moitié !
#30
Si les gens croient ce que le marketing leur vend aussi…
#31
Oui, il a pas de prénom ^^ juste un nom (Michu ^^)
#32
“Si tu n’y connais rien en informatique”… Là est bien le problème… La notion même de ce concept appelé “Informatique” a disparu dans l’inconscient collectif hélas !
Mode Véner=ON…
On parle maintenant de “digital” (cochonnerie de barbarisme qui me donne envie de te le mettre mon “digital” dans ton “fondement”, tiens…). Ce “Numérique” veut absolument masquer toute visibilité et présence de cette “Informatique”, pour ne mettre en avant désormais que des “usages” ou des “expériences” dont, justement, chacun (et donc tout le monde sans restriction) serait capable sans aucune connaissance ou expertise préalable. Alors ton idée d’être responsable, ces camelots n’en ont aucune idée ou quelque volonté que ce soit de savoir ce que ce fichu concept pourrait bien représenter !
Je grossis un peu le trait ? Vraiment ? ^^
#33
Après faut pas se faire d’illusion, le support c’est cher, exiger une garantie de support 10 ans ne vaut la peine que si c’est un appareil dont la durée de vie habituelle est de cet ordre. Ce qui n’est pas le cas de grand-chose en informatique (moi aussi je râle que mon smartphone ne soit plus supporté parce que je le garderais bien 15 ans, mais chez les gens normaux, un smartphone dure entre 2 et 3 ans en moyenne).
#34
Pourtant l’ordinateur portable sur lequel je t’écris ce commentaire (HP DV7-71xx) a quasiment cet age… Et il ne me semble pas obsolète (exception faite de la CG une GT630M complètement à la masse) après 2 petites màj sur le SSD et la RAM qui ne m’ont pas coûté grand chose.
2-3 ans comme “durée” de vie d’un équipement “numérique”, est-ce vraiment acceptable ? Souhaitable même ? Quand la société devient de plus en plus perméable aux notions de “durabilité” ou de “recyclage” ?
Selon moi, c’est non seulement un choix technique, mais aussi un choix social et écologique. Et certes, les fabricants n’ont pas forcément en tête cette démarche comme socle de leur stratégie. Ce qui les intéresse en premier lieu, c’est la “bottom line” sur le bilan, donc un maximum de vente.
Je peux comprendre, mais je disconviens. Respectueusement comme dirait Maître Éolas
!
#35
Ou sinon, tu vas sur le parefeu et tu dis que tout le trafic vers et depuis l’ip de ton NAS, il le jette. Ca marche aussi bien en ipv4 qu’en ipv6.
Dans les boxs des 4 opérateurs, l’UPnP est actif par défaut.
#36
Sauf que ce n’est pas comme ça que les NAS ont été piratés ; l’OS se connecte en permanence aux serveurs de WD pour y récupérer des instructions, et c’est ça qui a causé le problème. D’où le fait qu’il faudrait les déconnecter d’internet pour éviter tout risque.
#37
Ce que tu dis est faux. Comme on peut le lire sur Bleeping Computer (lien dans l’article) ce n’est pas lié à la connexion du NAS aux serveurs de WD :
Our investigation of this incident has not uncovered any evidence that Western Digital cloud services, firmware update servers, or customer credentials were compromised. As the My Book Live devices can be directly exposed to the internet through port forwarding, the attackers may be able to discover vulnerable devices through port scanning.
mais bien au fait que le NAS est connecté directement à Internet :
The log files we have reviewed show that the attackers directly connected to the affected My Book Live devices from a variety of IP addresses in different countries. This indicates that the affected devices were directly accessible from the Internet, either through direct connection or through port forwarding that was enabled either manually or automatically via UPnP.
#38
Je t’invite à lire cette page pour voir quelle faille a été exploitée pour hacker ces NAS : https://www.wizcase.com/blog/hack-2018/
Une simple requête HTTP depuis internet a suffit, pour peu que les NAS soient joignables depuis internet. Aucun besoin de hacker les services cloud de WD.
Bref, il vaut mieux se renseigner avant de parler…
#39
Si je cite ces trois marques, c’est qu’ils font une vraie maintenance de leurs produits.
#40
Merci de l’(info. Donc, ne reste que Qnap (ce que je recommande perso) et Synology. Quid de HPE ?
#41
Cela ne change pas ce que j’ai indiqué. Qnap, Syno et Asustor ont toutes les trois déjà eux des failles 0day.
Un NAS, s’il doit être accessible à distance, doit être surveillé, protégé (ex : VPN) et sauvegardé “hors ligne”.
#42
Il y a du nouveau : https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/.
Pour les non anglophones, voici un rapide résumé :
#43
Dans ces cas là tu peux tout débrancher du net et remplacer ton smartphone par un 3310 car des failles 0 day y’en a partout
(Windows, Linux, Android, Intel etc…etc…)
#44
Là c’est l’extrême, il y a une différence entre utiliser un smartphone, tv connectée… et laisser son NAS à poil sur le net, non ?