Les spécialistes de la sécurité informatique de chez Securify ont mis le doigt sur une faille très handicapante sur les disques durs NAS de la marque Western Digital. Le souci ? Cela fait un an qu'ils alertent la marque, qui ne fait strictement rien.
Depuis plus d'un an, les experts de la sécurité informatique Securify et Exploitee.rs alertent Western Digital sur une faille critique concernant les produits estampillés My Cloud.
Grâce à une gestion désastreuse des cookies de session, des pirates sont capables de s'accorder des droits d'administrateur sur vos disques durs connectés.
Western Digital ne réagit pas
Dans un tweet, l'équipe de Exploitee.rs ne cache pas son désarroi.We contacted WD about the same vuln and even publicly disclosed it at DEFCON 25 last year (as well as the https://t.co/CdqUCdgpCq wiki). Western Digital refused to acknowledge or fix the finding, so I went as far as to write a @metasploit module for it. https://t.co/oeOxsWeTo4
Exploitee.rs (@Exploiteers) 18 septembre 2018
« Nous avons contacté Western Digital à propos de cette même vulnérabilité, et l'avons même dévoilée publiquement lors du DEFCON 25 l'an passé. Western Digital refuse de reconnaître et de corriger la faille [...] », écrivent les experts, interdits devant tant d'immobilisme de la part du constructeur.
Quelques lignes de code suffisent aux pirates pour s'accorder les pleins pouvoirs et ainsi détourner le contenu des NAS Western Digital, comme le démontre le post de Securify.
Une absence de réaction de la part de Western Digital pas si étonnante puisque l'entreprise a reçu en 2016 le prix de la « réponse fournisseur la plus bancale » lors des Pwnie Awards.
Que pensez-vous du mutisme de Western Digital dans cette affaire ?
