Mauvaise surprise pour les utilisateurs de NAS WD My Book Live et My Book Live Duo : une faille de sécurité peut entraîner l’effacement de toutes les données présentes sur le disque si celui-ci est connecté à Internet. Si ce n’est pas déjà fait, vous devriez déconnecter au plus vite votre disque du réseau pour éviter le pire.
Le 25 juin dernier, Western Digital, fabricant de nombreuses solutions de stockage (disques durs internes, disques externes, NAS, etc.) a recommandé aux utilisateurs d’appareils WD My Book Live et My Book Live Duo de les déconnecter d’Internet jusqu’à nouvel ordre, suite à différents messages postés le 24 juin par des utilisateurs sur le forum de support de WD, indiquant avoir perdu toutes leurs données.
Les disques WD de la série My Book Live sont des NAS assez populaires commercialisés depuis 2010. Ils disposent d’une connexion USB ainsi que d’un port Ethernet qui permet de les connecter à un réseau local, voire même à Internet si vous activez l’option pour accéder à vos données à distance. Malheureusement, WD a arrêté le support pour ces NAS en 2015 et ne propose donc plus de mise à jour de sécurité.
Perte de données massive
Pour les utilisateurs de ces disques WD, le réveil a dû être difficile. Si l’ensemble des dossiers se trouvaient encore sur le disque, les fichiers présents à l’intérieur avaient tous disparu. Plusieurs utilisateurs ont indiqué sur le forum que leur NAS avait subit un factory reset, soit une réinitialisation à l’état initial de leur machine, une procédure souvent utilisée pour remettre à zéro un appareil électronique, entraînant évidemment la suppression de toutes les données stockées.
24h après que l’incident ait été reporté, Western Digital a publié le message officiel suivant sur son forum : « Déconnectez immédiatement votre appareil My Book Live d’Internet pour protéger vos données des attaques en cours. Vous pouvez déconnecter l’appareil et continuer à accéder à vos données localement ». Le fabricant a ainsi noté que ces supports de stockage étaient la cible d’attaques exploitant plusieurs vulnérabilités présentes.
Un programme de récupération de données offert par WD
Suite à l’ampleur de l’attaque, Western Digital a mis en ligne une page reprenant les produits touchés par l’attaque ainsi que plus de détails.
WD a enquêté et affirme que les services cloud, les serveurs de mise à jour du firmware ou les données de connexion de ses utilisateurs n’ont pas été compromis.
On apprend ainsi que le firmware des My Book Live est sensible à « une vulnérabilité d’injection de commande exploitable à distance lorsque l’accès à distance est activé sur l’appareil. Cette vulnérabilité peut être exploitée pour exécuter des commandes arbitraires avec les privilèges root. De plus, le My Book Live est vulnérable à une opération de réinitialisation d’usine non authentifiée qui permet à un attaquant de réinitialiser l’appareil aux paramètres d’usine sans authentification. »
Ces vulnérabilités ont, selon Western Digital, été introduites en 2011 suite à une refonte de la logique d’authentification présente dans une mise à jour firmware. Le moins que l’on puisse dire, c’est que cela sème le doute quant à la sécurité des produits connectés de la marque WD : même si la gamme My Book Live n’est plus supportée depuis 2015, la fiabilité matérielle de ces NAS fait que de nombreuses personnes ou même entreprises utilisent encore ces systèmes connectés pour stocker et partager des données.
Pour répondre aux inquiétudes (fondées) de ses utilisateurs, le fabricant proposera dès début juillet des services de récupération de données gratuits, afin de permettre peut-être de retrouver les fichiers effacés sur le disque dur, ainsi qu’un programme d’échange pour passer à un appareil plus récent à un tarif préférentiel. Si le mal est fait pour certains utilisateurs, ce soutien du constructeur est toujours bienvenu.
En attendant, nous conseillons aux utilisateurs impactés de déconnecter leur disque du réseau via le port Ethernet, ou s’il est déjà trop tard, de ne pas tenter de modifier le contenu de leurs disques, sous peine de rendre cette restauration plus compliquée. En effet, même si les données ont été « effacées » du disque, elles sont toujours présentes, mais inaccessibles, et enregistrer de nouvelles données sur le support risque de rendre leur récupération impossible.
Nous en profitons également pour rappeler qu’un NAS, même s’il est composé de plusieurs disques internes, n’est pas une solution de sauvegarde suffisante pour vos données. D’autant plus si ce NAS est connecté à Internet, ce qui le rend potentiellement vulnérable à une attaque à distance, comme le montre cette affaire.
My Cloud OS 3 : pensez à la mise à jour
Suite à cette faille, des chercheurs ont également découvert une faille dans le système d’exploitation My Cloud OS 3 des NAS My Cloud de WD. Ce dernier a depuis été mis à jour avec My Cloud OS 5 et le fabricant conseille de passer à la dernière version.
Mais certains utilisateurs préfèrent My Cloud OS 3 – qui offre des fonctionnalités qui ne sont plus dans My Cloud OS 5 – ou disposent d’un NAS qui ne peut pas faire la mise à jour vers My Cloud OS 3. Dans ce cas, Western Digital n’a qu’une réponse : achetez un nouveau disque qui fonctionne avec My Cloud OS 5, qui est une mise à jour fondamentale en termes de sécurité.