Attention à cette faille de sécurité sur les NAS de Western Digital

Ce n’est pourtant pas faute d’avoir été averti par des experts en sécurité, mais Western Digital a fait le dos rond concernant une faille de sécurité critique touchant ses NAS, et qui rend ces derniers particulièrement vulnérables au piratage.

Western Digital risque de perdre gros après sa négligence envers ses NAS et la faille critique pouvant les atteindre. Pourtant, cela fait un petit moment que le fabricant de disques durs avait été averti par les experts de la sécurité informatique Securify et Exploitee.rs sur les vulnérabilités concernant les produits My Cloud.

Western Digital, alerté depuis un an sur une faille critique

En effet, depuis plus d’un an, Western Digital est alerté des risques encourus, et pourtant la société n’a pas voulu prendre la menace au sérieux. Cela a provoqué un certain désarroi de la part des experts en sécurité d’Exploitee.rs.

Dans un tweet du 18 septembre, ils expliquent ne pas comprendre cette attitude : « Nous avons contacté Western Digital à propos de cette même vulnérabilité, et l’avons même dévoilée publiquement lors du DEFCON 25 l’an passé. Western Digital refuse de reconnaître et de corriger la faille ».

Des NAS Western Digital facilement piratables

Le fabricant risque aujourd’hui de s’en mordre les doigts, car ses NAS sont de ce fait très faciles à pirater. Ce sont plus spécifiquement les cookies de session qui sont en cause, leur gestion étant catastrophique. Cela permet aux pirates de s’approprier des droits d’administrateur à partir des disques durs connectés.

Ainsi, il ne faut que quelques lignes de code pour que les hackers atteignent leur objectif. Pour les clients de Western Digital faisant appel au service My Cloud, cela veut dire qu’ils peuvent voir du jour au lendemain l’accès à leur disque dur bloqué, et même leurs contenus disparaître.

Et ce qui est le plus inquiétant, c’est l’attitude de Western Digital, qui n’a réagi que parce que la faille a été médiatisée par les experts en sécurité. Face à cette contrainte externe, le fabricant a finalement indiqué qu’il allait apporter un correctif dans les prochaines semaines.