Effacement des disques Western Digital My Book Live : une seconde faille découverte

30 juin 2021 à 12h00
4
© Western Digital
© Western Digital

Une seconde vulnérabilité dans les My Book Live a été découverte, ce qui explique les suppressions de données dont ont été victimes des clients.

Découverte dans une analyse réalisée par Ars Technica et Censys, cette vulnérabilité permet de réaliser une restauration à l'état d'usine sans avoir besoin d'un mot de passe.

Une faille zero-day présente depuis 2011

Il y a quelques jours, plusieurs utilisateurs rapportaient que les données de leur My Book Live de Western Digital avaient tout simplement disparu. L'entreprise avait conclu que les hackers avaient utilisé la vulnérabilité CVE-2018-18472. Découverte en 2018 par deux chercheurs, elle permet à n'importe qui connaissant l'adresse IP de l'appareil d'obtenir un accès root sur celui-ci. Western Digital ayant arrêté de supporter les My Book Live en 2015, cette faille n'avait jamais été patchée.

Cependant, cela n'explique pas vraiment pourquoi les utilisateurs ont perdu leurs données. La faille semble surtout avoir été exploitée pour installer plusieurs fichiers malveillants, obligeant l'appareil à rejoindre le botnet Linux.Ngioweb. Après des recherches supplémentaires, il semblerait qu'une deuxième faille soit à l'origine de la suppression des données, comme rapporté par Ars Technica. Désormais nommée CVE-2021-35941, elle ne donne pas le contrôle de l'appareil, mais elle permet de le restaurer à l'état d'usine sans avoir besoin d'un mot de passe.

Plus surprenant, du code avait bien été écrit pour éviter cette faille, demandant une authentification avant de pouvoir réaliser une restauration. Cependant, il a été commenté par un développeur. D'après Western Digital, c'est arrivé en avril 2011 lors de la refactorisation de leur code se chargeant de l'authentification. Toute la logique d'authentification avait été rassemblée dans un seul fichier qui déterminait quel type d'authentification était nécessaire pour chaque endpoint. Si le « vieux » code a bien été commenté, on avait oublié d'ajouter le nouveau type d'authentification pour la restauration à l'état d'usine dans le nouveau fichier.

Pas de patch, mais des services de récupération de données offerts par Western Digital

Des questions demeurent quant au fait que les deux failles aient été exploitées en même temps. Derek Abdine de Censys a émis l'hypothèse d'une rivalité entre deux hackers, l'un utilisant la première vulnérabilité pour son botnet et l'autre, un rival, décidant d'exploiter la zero-day pour supprimer toutes les données des My Book Live pour le saboter ou prendre le contrôle des appareils à sa place. Cependant, Western Digital a indiqué avoir vu des instances où les deux vulnérabilités avaient été utilisées par les mêmes personnes.

L'entreprise a annoncé mettre en place gratuitement des services de récupération des données pour les clients affectés ainsi qu'un programme d'échange pour remplacer les My Book Live par des appareils My Cloud à jour. Ces services seront disponibles en juillet, et en attendant, il est toujours conseillé de garder son appareil déconnecté.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (4)

bizbiz
Les My Cloud Home non impactés ? J’ai fait l’acquisition de 3 unités 8To récemment mais j’ai été refroidi par le fait qu’il faille passer par une appli tierce pour que le système les détecte.<br /> J’ai donc extrait les Red et maintenant il sont sur adaptateur usb externe .
dredd
C’est le moment de récup des MyCloud Live pas cher et attendre l’échange lol<br /> Plus sérieusement, les firmwares fermés et non mis a jours c’est quand même la plaie sur ce genre d’appareils…
max_971
Pourquoi ne pas donner les codes sources des produits en fin de vie ?<br /> On pourrait bidouiller pour patcher les failles.
cyrano66
D’après le mail (in English) que j’ai reçu de WD<br /> En cas d’effacement WD prend en charge l’envoi et le récupération et renvoie les données sur des WD Passeport.<br /> A priori WD ne remplace pas le My Book. Par contre en parallèle WD propose 40% de réduction sur l’achat d’un nouveau.<br /> bizbiz:<br /> Les My Cloud Home non impactés ?<br /> A priori non<br /> Qualifying Products<br /> The following models of My Book Live and My Book Live Duo products from Western Digital:<br /> My Book Live<br /> WDBACG0030HCH<br /> WDBACG0020HCH<br /> WDBACG0010HCH<br /> My Book Live Duo<br /> WDBVHT0080JCH<br /> WDBVHT0060JCH<br /> WDBVHT0040JCH
Voir tous les messages sur le forum