Les Nas Western Digital sont très faciles à pirater, et ce depuis plus d’un an

Pierre Crochart
Spécialiste smartphone & gaming
26 novembre 2020 à 09h12
6
western-digital-mycloud.png

Les spécialistes de la sécurité informatique de chez Securify ont mis le doigt sur une faille très handicapante sur les disques durs NAS de la marque Western Digital. Le souci ? Cela fait un an qu'ils alertent la marque, qui ne fait strictement rien.

Depuis plus d'un an, les experts de la sécurité informatique Securify et Exploitee.rs alertent Western Digital sur une faille critique concernant les produits estampillés My Cloud.

Grâce à une gestion désastreuse des cookies de session, des pirates sont capables de s'accorder des droits d'administrateur sur vos disques durs connectés.

Western Digital ne réagit pas

Dans un tweet, l'équipe de Exploitee.rs ne cache pas son désarroi.



« Nous avons contacté Western Digital à propos de cette même vulnérabilité, et l'avons même dévoilée publiquement lors du DEFCON 25 l'an passé. Western Digital refuse de reconnaître et de corriger la faille [...] », écrivent les experts, interdits devant tant d'immobilisme de la part du constructeur.

Quelques lignes de code suffisent aux pirates pour s'accorder les pleins pouvoirs et ainsi détourner le contenu des NAS Western Digital, comme le démontre le post de Securify.

Une absence de réaction de la part de Western Digital pas si étonnante puisque l'entreprise a reçu en 2016 le prix de la « réponse fournisseur la plus bancale » lors des Pwnie Awards.

Que pensez-vous du mutisme de Western Digital dans cette affaire ?
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
0
nrik_1584
“Que pensez-vous du mutisme de Western Digital dans cette affaire ?”<br /> Que s’ils sont bons pour les HDD nus ils ne me verront pas chez eux dès qu’il s’agit de software.
Ange_Blanc
Moi qui pensait m’en prendre un chez eux, c’est loupé, une entreprise se doit de protéger leurs utilisateurs…j’irai à la concurrence
Momozemion
De ces produits que je ne connais pas, je ne dirais rien.<br /> Mais de ce nouvel article putaclic, je peux dire bien des choses.<br /> Les mêmes que les autres commentaires de l’autre article aussi mauvais sur le sujet.<br /> Oui, ces NAS sont faciles à pirater, pour qui serait sur le même réseau local non switché. Dans les faits…
snoopyz
Il n’y a que Qnap et Synology qui suivent correctement leurs produits et mettent à jour l’OS de leurs NAS
notolik
C’est quoi un réseau local non switché? Un réseau sans commutateur? En token ring? Comprend pas.<br /> Sinon j’ai cru comprendre que la faille concerne la “gestion désastreuse des cookies de session”, ce qui veux dire que c’est via l’interface web de gestion du NAS que se situe le problème. Donc si le Service MyNas est activé, ou si l’utilsateur a configuré son routeur pour, la faille est belle et bien ouverte de l’extérieur… Donc pas seulement sur le LAN/WLAN.<br /> Dans la mesure ou c’est le rôle d’un NAS (d’être ouvert sur l’extérieur), il y a fort à parier que cette faille concerne un nombre monstrueux de machines!!!<br /> Et comme elle me semble ultra simple à exploiter, je ne comprends même pas comment Seagate peut se permettre de ne rien faire.
Momento
Bonjour à tous,<br /> Je confirme que les nas WdMycloud sont piratable, je viens d’en faire la douloureuse expérience un hackeur à crypter tous mes fichiers avec une demande de rançon, mon nas était à jour avec le dernier micrologiciel.<br /> J’ai contacté le support western digital aucunes solutions ne se sente pas concerné.<br /> Bonne pub pour leur produit mais pas pas réactif en cas de problèmes<br /> Bonne journée
Voir tous les messages sur le forum

Derniers actualités

BR100 : Biren présente le GPGPU chinois le plus puissant, au-dessus du NVIDIA Ampere A100
Vous avez créé une invitation partagée sur Slack ? Votre mot de passe est peut-être compromis
Parallels Desktop 18 vous permet d'installer Windows 11 en un clic sur macOS
La dernière bêta d'Office sur iOS prend en charge la reconnaissance d'écriture Scribble
Quand le suivi en ligne de leurs jets fatigue les dirigeants et milliardaires
Microsoft confirme un énième problème sur Windows 10 et Windows 11
MIX Fold 2 : Xiaomi va bientôt annoncer son deuxième smartphone pliant
La trottinette électrique Ninebot Kickscooter E25E à -42% chez Darty !
Chopin Max : le boîtier ultra-compact d'InWin prend un peu de poids
Arc Pro A40 et Arc Pro A50 : Intel annonce ses GPU professionnels
Haut de page