Les innombrables failles des serveurs NAS fragilisent grandement la Toile

Code source obsolète, manque de mises à jour, failles à gogo… Les disques de stockage en réseau sont peut-être pratiques, mais absolument pas sécurisés. Ils sont désormais le maillon faible dans la maison.



Jacob Holcomb hacke les serveurs NAS.




En matière de sécurité, peu d’appareils grand public sont aussi mauvais que les disques de stockage en réseau et, en particulier, les petits serveurs NAS pour la maison. Faits pour stocker la totalité de votre « vie multimédia », certains de ces engins ne protègent en rien vos données car ce sont de véritables passoires. Une démonstration a été apportée ce jeudi 16 octobre par Jacob Holcomb, chercheur en sécurité chez ISE, à l’occasion de la conférence Black Hat Europe 2014. Depuis quelques temps maintenant, ce hacker étudie en profondeur la sécurité des appareils connectés. En ce moment, il s’est pris une passion pour les serveurs NAS grand public.
Il en a à ce jour décortiqué une dizaine -à l'exception notable de modèles Synology, parmi les plus populaires- et le résultat préliminaire est sans appel: il a réussi à s’introduire dans tous les modèles avec les privilèges administrateurs (root). Dans la moitié des cas, il n’avait même pas besoin de s’authentifier. « Je viens à peine de commencer mes recherches et j’ai déjà trouvé 22 failles de sécurité dans ces modèles. C’est nettement pire que pour les routeurs, que j’ai étudié auparavant », explique Jacob Holcomb.
Tous ces serveurs NAS peuvent être piratés.




En somme, on rentre dans les routeurs NAS un peu comme dans du beurre. Pour y arriver, c’est toujours un peu les mêmes méthodes. Il faut scruter les services réseaux (HTTP, SMB, SMTP, FTP, Telnet,…), scanner des ports de connexion, chercher une porte d’entrée. Les applications Web, que les fournisseurs proposent pour l’administration du stockage, peuvent également cacher de belles surprises. Enfin, on peut aussi procéder à une analyse du code source, qui se trouve souvent sur Internet.
Les vulnérabilités sont très variées: injection de code, cross-site scripting, buffer overflow, portes dérobées, fuite involontaire de données, etc. Grâce à ce florilège de failles, ces appareils font désormais parties des cibles privilégiés des pirates de la planète, que ce soit pour voler des données, recruter des zombies ou pénétrer un réseau. « Il y en a des dizaines, voire des centaines de milliers. Pourquoi se compliquer la vie en essayant de pirater des ordinateurs ou des serveurs, qui sont régulièrement mis à jour? Ces appareils sont tellement nombreux et peu sécurisés qu’ils permettraient de faire tomber le Net », estime Jacob Holcomb qui, pour prouver ses dires, a lancé pendant sa session de présentation un ver informatique sur trois des appareils étudiés. A savoir: D-Link DNS-345, Trendnet TN-200/2011T1 et Western Digital MyCloud EX4. Opération réussie.
Un ver se balade sur ces trois appareils...



Mais au fait, pourquoi la sécurité de ces appareils connectés est-elle si mauvaise? « Le code implémenté par ces marques est généralement fourni par les fabricants de chipset. Or, non seulement ces derniers développent leurs logiciels sans beaucoup de considération de sécurité, mais en plus leurs codes est rapidement diffusé dans toute l’industrie. Les mêmes failles se retrouveront dans tous les modèles d’une même gamme, car il s’agit du même code source à la base. De ce point de vue, c’est pire que pour les routeurs, où l’on ne retrouve pas un tel niveau de réplication », explique Jacob Holcomb. Sa recommendation: éviter le stockage en réseau, tout simplement. Voilà qui est dit.