Western Digital victime d'une attaque, les services en ligne ont été débranchés
Western Digital est une fois de plus confronté à un gros problème de sécurité. Le constructeur de disques externes et de NAS a confirmé ce lundi être la victime d'une attaque réseau qui a permis à une « tierce partie non autorisée » d'avoir accès à un certain nombre des systèmes de l'entreprise.
Cet « incident de sécurité » identifié le 26 mars a nécessité la déconnexion de plusieurs services, dont My Cloud, My Cloud Home et My Cloud OS qui sont en carafe depuis le 2 avril (on peut suivre le statut des services sur cette page). Le support en ligne est également dans les choux.
WD travaille à la restauration des infrastructures touchées, tout en menant l'enquête sur la nature et l'importance de cette attaque avec l'aide des autorités. Elle n'en est qu'à ses débuts, alors la remise en route des différents services risque possiblement de prendre un peu de temps. En juin 2021, des NAS du constructeur avaient été touchés par des failles de sécurité qui avaient permis à des malandrins de réinitialiser les périphériques à distance.
Les NAS Western Digital réinitialisés sans raison ont bien été piratés
Il y a un roman à écrire sur les choix techniques autour du My Cloud Home... de la solution avec une base Android, un système de fichier propriétaire et une interface réseau spécifique qui nécessitaient une app ad hoc pour accéder au NAS pour finalement atterrir sur un abandon de la solution propriétaire (mais la nécessité d'activer récemment l'accès local en SMB), ce qui fait qu'avec la panne d'aujourd'hui de nombreux utilisateurs sont privés des l'accès à leurs documents, y compris en accès local.
Tout ceci est un peu désolant, j'espère qu'aucune information résidant sur les NAS des utilisateurs n'a été subtilisée ou effacée par les malandrins.
Déjà acheter des « NAS » WD... Quelle bonne idée...
Pour moi leurs produits qu'ils appellent des « NAS » sont à des années lumières de ce que font les « vrais » NAS actuels chez Syno ou QNAP par exemple.
Oui c'est un NAS si on veut, mais c'est super basique et confier ses données à une machine proposée par un constructeur qui est aussi peu sûr en terme de sécurité, faut vraiment pas avoir peur.
Qu'ils se contentent de faire des disques durs et SSD et ça sera très bien comme ça.
Il y a quelques mois j'ai hésité entre un WD My Cloud et un "vrai" NAS parce que je ne suis pas trop connaisseur et j'avais peur de me prendre la tête avec le NAS.
Finalement ça a été un NAS QNAP avec des bon gros Seagate dedans. C'était plus facile que je l'imaginais et aujourd'hui je suis encore plus satisfait de ce choix 😨.
Le seul truc qui me choque un peu dans ces histoires est que, à chaque fois, on en met plein la gueule aux victimes. OK, WD est nul etc etc.
Il ne faudrait pas oublier que s'il n'y avait pas aussi une bande de nolife qui passent leur misérables journées à "attaquer" tout ce qui peut s'attaquer, nos vies seraient plus simples. Je consacrerai donc une petite minute symbolique à conchier ces gros losers du clavier.
@Dr. Kifelkloun
Lisez ce document incroyable :
https://www.westerndigital.com/support/product-security/vulnerability-disclosure-policy
En particulier :
« 6. Our Commitments
When working with us, according to this policy:
We do not currently offer or participate in standing bug bounty programs. We do not honor requests for bounty payments, promotional material, or credit outside of our Security Bulletin publication process. »
Ainsi que le chap. #7 : « 7. Our Expectations
In participating in our vulnerability disclosure program in good faith, we ask the following from you.… »
Même Apple a fini par encourager activement et récompenser la recherche de ses failles, maugréant et à son corps défendant.
WD a décidé de ne pas le faire. Or, WD est l’un des deux grands producteurs de composants de stockage grand public. Un tel acteur de l’industrie qui omet, sciemment, de faire ce qui est considéré best practice dans son domaine afin de protéger, dans la limite de ses moyens, tant ses produits que ses clients, n’est pas une victime. Je considère une telle pratique comme un manquement au devoir de due diligence. Je leur souhaite des conséquences juridiques.
Ce comportement de la part de WD est d’autant plus répréhensible que la multiplication des attaques n’est le plus souvent pas le fait de quelques « nolife qui passent leur misérables journées à "attaquer" tout ce qui peut s'attaquer », comme vous dites. Ces attaques sont généralement ciblées, mandatées et rémunérées. Un grand acteur industriel doit se prémunir.
@occam
Édifiant en effet!!!
@occam
Sympathique comme politique.
@Dr. Kifelkloun
Et que penserais-tu de supprimer les no-life qui conduisent en même temps que toi sur la même portion de route, afin de ne pas risquer d’avoir un accident ?
J’ai un MyBook Duo 20TB en Raid 1 et crypter avec MacOS et donc pas d’accès réseau c’est la base de ne pas faire confiance à ces entreprises qui non pas assez d’expertise dans ces domaines 😈
@R-APPLE-R
👍🏻
Et Apple avec ICloud il y a quelques années , rien à voir je suppose.
L’épée a toujours été plus forte que le bouclier, ce que je veux dire par la c’est que quelque soit la méthode employé, des abrutis arriverons toujours à percer les clefs d’un réseau qui peux se connecter à l’extérieur sauf peut-être si on y dépense des sommes astronomique en terme de sécurité.
@Theduck
C’est le perpétuel jeu du chat et de la souris.
@pommecroquee
Oui