Les Nas Western Digital sont très faciles à pirater, et ce depuis plus d’un an

Pierre Crochart
Par Pierre Crochart, Spécialiste smartphone.
Publié le 26 novembre 2020 à 09h12
western-digital-mycloud.png

Les spécialistes de la sécurité informatique de chez Securify ont mis le doigt sur une faille très handicapante sur les disques durs NAS de la marque Western Digital. Le souci ? Cela fait un an qu'ils alertent la marque, qui ne fait strictement rien.

Depuis plus d'un an, les experts de la sécurité informatique Securify et Exploitee.rs alertent Western Digital sur une faille critique concernant les produits estampillés My Cloud.

Grâce à une gestion désastreuse des cookies de session, des pirates sont capables de s'accorder des droits d'administrateur sur vos disques durs connectés.

Western Digital ne réagit pas

Dans un tweet, l'équipe de Exploitee.rs ne cache pas son désarroi.



« Nous avons contacté Western Digital à propos de cette même vulnérabilité, et l'avons même dévoilée publiquement lors du DEFCON 25 l'an passé. Western Digital refuse de reconnaître et de corriger la faille [...] », écrivent les experts, interdits devant tant d'immobilisme de la part du constructeur.

Quelques lignes de code suffisent aux pirates pour s'accorder les pleins pouvoirs et ainsi détourner le contenu des NAS Western Digital, comme le démontre le post de Securify.

Une absence de réaction de la part de Western Digital pas si étonnante puisque l'entreprise a reçu en 2016 le prix de la « réponse fournisseur la plus bancale » lors des Pwnie Awards.

Que pensez-vous du mutisme de Western Digital dans cette affaire ?
Pierre Crochart
Spécialiste smartphone
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (6)
nrik_1584

“Que pensez-vous du mutisme de Western Digital dans cette affaire ?”

Que s’ils sont bons pour les HDD nus ils ne me verront pas chez eux dès qu’il s’agit de software.

Ange_Blanc

Moi qui pensait m’en prendre un chez eux, c’est loupé, une entreprise se doit de protéger leurs utilisateurs…j’irai à la concurrence

Momozemion

De ces produits que je ne connais pas, je ne dirais rien.
Mais de ce nouvel article putaclic, je peux dire bien des choses.

Les mêmes que les autres commentaires de l’autre article aussi mauvais sur le sujet.

Oui, ces NAS sont faciles à pirater, pour qui serait sur le même réseau local non switché. Dans les faits…

snoopyz

Il n’y a que Qnap et Synology qui suivent correctement leurs produits et mettent à jour l’OS de leurs NAS

notolik

C’est quoi un réseau local non switché? Un réseau sans commutateur? En token ring? Comprend pas.

Sinon j’ai cru comprendre que la faille concerne la “gestion désastreuse des cookies de session”, ce qui veux dire que c’est via l’interface web de gestion du NAS que se situe le problème. Donc si le Service MyNas est activé, ou si l’utilsateur a configuré son routeur pour, la faille est belle et bien ouverte de l’extérieur… Donc pas seulement sur le LAN/WLAN.

Dans la mesure ou c’est le rôle d’un NAS (d’être ouvert sur l’extérieur), il y a fort à parier que cette faille concerne un nombre monstrueux de machines!!!

Et comme elle me semble ultra simple à exploiter, je ne comprends même pas comment Seagate peut se permettre de ne rien faire.

Momento

Bonjour à tous,
Je confirme que les nas WdMycloud sont piratable, je viens d’en faire la douloureuse expérience un hackeur à crypter tous mes fichiers avec une demande de rançon, mon nas était à jour avec le dernier micrologiciel.
J’ai contacté le support western digital aucunes solutions ne se sente pas concerné.
Bonne pub pour leur produit mais pas pas réactif en cas de problèmes
Bonne journée

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles