Ignorance majeure d’un utilisateur

[PATRICE05]

Après quelques vérifications sur le net, je suis étonné que personne ne fasse mention d'une faille présente dans tous les NAS synology, cette faille permet d'avoir accès à l'intégralité du contenu du NAS sans aucune restriction pour peu que l'on ai accès physiquement au NAS en question pendant quelques minutes mais sans qu'aucune démontage ou manipulation interne ne soit nécessaire.

J'ai interpellé synology sur le sujet, il m'a juste été envoyé un message visant à me faire déactiver le DLNA :-)

Je suppose que certains sont déjà tombés sur cette aberration mais n'en n'ont pas parlés sur la place publique, pour ma part, j'ai trouvé ça limite quand j'ai vu que j'avais accès à l'intégralité des contenus d'un client pour lequel la sécurité est très importante.

Ça vous inspire quoi de savoir que toute personne qui peut mettre la main sur votre NAS peut avoir accès au contenu?

Modifié le 2 janvier 2018 par Einsteinium
Édition du titre trompeur

[PiwiLAbruti]

Ça m’inspire que tu devrais en dire plus sur l’exploitation de cette faille. Quel est le service/protocole attaqué ?

[PATRICE05]

Je ne souhaite pas en dire plus tant que synology n'aura pas manifesté un peu plus d'intérêt à ce problème mais le fait est qu'il n'est nul besoin d'être un as de l'informatique pour mettre en œuvre la procédure, c'est surtout ça qui m'inquiète.

Pour info, j'ai testé sur plusieurs modèles, ça marche à tous les coups. (DS116, DS216J, DS1515+ et DS716+)

Modifié le 2 janvier 2018 par PATRICE05

[Brunchto]

ben, ça m'inspire rien, vu que je ne sais pas de quoi tu parles.

[PiwiLAbruti]

Il y a 1 heure, PATRICE05 a dit :

J'ai interpellé synology sur le sujet, il m'a juste été envoyé un message visant à me faire déactiver le DLNA

Et ça suffit à ce que la faille soit inexploitable ? (jusqu'à ce que Synology sorte un correctif)

[Brunchto]

si c'est que tu accèdes aux dossiers video / music et photo sans authentification?

[ouinouin]

Je suis curieux de savoir aussi quelle est cette faille pour la corriger de mon côté avant que SYNOLOGY ne l'a corrige de son côté.

[Vtsax]

Salut,

Moi pareil.. Et je t'avoue que j'aimerais savoir au moins.. Ce qu'il faut faire pour que ça n'arrive pas ?

Accès externe ou en interne ?

Merci

[PATRICE05]

Impossible de la corriger soit même.

[Vtsax]

Même en désactivant certaine chose ?

[PATRICE05]

à l’instant, Vtsax a dit :

Salut,

Moi pareil.. Et je t'avoue que j'aimerais savoir au moins.. Ce qu'il faut faire pour que ça n'arrive pas ?

Accès externe ou en interne ?

Merci

Que personne ne puisse mettre la main sur ton NAS, par contre l'accès distant n'est pas concerné.

il y a 1 minute, Vtsax a dit :

Même en désactivant certaine chose ?

Pas à ma connaissance

[Vtsax]

Ah ok, donc c'est en accès interne ... Je suis rassuré :)

ça ne me concerne plus 

[PATRICE05]

il y a 1 minute, Vtsax a dit :

Ah ok, donc c'est en accès interne ... Je suis rassuré :)

ça ne me concerne plus 

Alors c'est tant mieux mais attention, un éventuel cambriolage et tu rentres dans la catégorie.

[Vtsax]

Je comprend :)

Merci pour l'info

 

Entre nous je suis rassuré que ce ne sois qu'en interne quand même..

Les personnes qui viennent chez moi n'on accès qu'à un réseau Guest ^^ qui ne donne pas accès à mes équipement et qui n'as rien avoir avec mon réseau interne !

[PATRICE05]

J'attends un peu et je vous en dit plus, c'est tellement bête que j'ai un peu honte de faire trainer les choses.

[Vtsax]

Surtout que c'est une faille qui touche que de l'interne donc à la limite, il y à tellement de personnes compétente ici qu'elle pourrons se pencher sur le problème .. :)

Donc oui, faut le dire je pense

[Balooforever]

Bonjour,

Tu parles du bouton Reset à l'arrière qui réinitialise le mot de passe admin ? :)

[PATRICE05]

il y a 19 minutes, Balooforever a dit :

Bonjour,

Tu parles du bouton Reset à l'arrière qui réinitialise le mot de passe admin ? :)

En effet, sauf que ça va plus loin, si tu effectues une réinitialisation complète, (1 appui reset jusqu'au "bip" suivit d'un deuxième appui), en théorie le NAS est réinitialisé, tu vas donc procéder à la réinstallation totale de l'appareil de la même façon que s'il était neuf sauf, qu'a la fin de la procédure, tu as accès à l'intégralité du contenu du NAS tel qu'il était avant le reset.

En conclusion, on se demande à quoi ça peut servir de mettre des mots de passe dans tous les coins dans la mesure ou il est possible à une personne mal intentionnée d'avoir accès à l'intégralité des données.

Dans mon cas, j'ai testé sur un de mes synology, puis sur celui d'un client photographe que changeait de matériel et enfin sur celui, mis au rebus, d'une administration, dans les trois cas, j'ai eu accès à tous les dossiers.

Déjà que je trouvais limite la technique qui permettait de récupérer le contenu d'un syno avec une carte RAID sur un ordinateur, là c'est encore plus simple.

J'ai bien conscience que ces deux procédures peuvent être bien utilises en cas de pépin et qu'elles ne  concernent que les personnes donc le NAS peut être physiquement accédé mais une donnée sensible n'est pas toujours inaccessible à une personne bien décidée.

 

[Brunchto]

il n'y a rien de nouveau. le double reset ne concerne que la partition système... si tu ne veux pas que les dossiers soient visibles, faut les crypter sans montage au démarrage. et faire un zero-ing des disques avant une mise au rebus.

je boote sur ton PC avec un CD ou une clé usb, et je verrai toutes tes données.

je boote sur ton pc avec un CD et je vide le password admin, et j'aurais accès à toutes tes données une fois loggué

 

 

Modifié le 2 janvier 2018 par Brunchto

[PATRICE05]

il y a 4 minutes, Brunchto a dit :

il n'y a rien de nouveau. le double reset ne concerne que la partition système... si tu ne veux pas que les dossiers soient visibles, faut les crypter sans montage au démarrage. et faire un zero-ing des disques avant une mise au rebus.

je boote sur ton PC avec un CD ou une clé usb, et je verrai toutes tes données.

je boote sur ton pc avec un CD et je vide le password admin, et j'aurais accès à toutes tes données une fois loggué

 

 

Sur mon serveur, ce n'est pas certain bien que je connaisse une façon de faire que tu dits, ça ne t'étonnes pas plus que ça que l'on puisse faire sauter l'accès de ton NAS avec un trombone ?

[PATRICE05]

Alors il n'y a qu'à verrouiller le sujet, désolé mon intervention est  alors sans objet.

[Brunchto]

c'est le système qui gère la sécurité. si tu bootes ton PC sur un autre système ou que tu scannes le disque, tu auras accès aux données. Si tu veux que les données soient protégées, il faut les crypter.

quand tu fais une récupération de disque après un crash disque ou un plantage du système, tu es bien content de récupérer des données. un getdataback ou autres  logiciels se moquent bien des logins/ password et des autorisations qui peut y avoir sur système d'exploitation.

si tu cryptes tes dossiers sur le syno, sans montage auto au démarrage, les données ne devraient plus être accessibles après un double reset.

 

 

 

Modifié le 2 janvier 2018 par Brunchto

[Einsteinium]

S’il y avait eu une faille majeure... j’aurais été le premier à la postée si aucun autre n’avait réagît avant...

Bref un peu de lecture te fera grand bien, cf ma signature pour les tutoriels...

Ps : modification du titre racoleur...

[Brunchto]

il y a 48 minutes, Einsteinium a dit :

Ps : modification du titre racoleur...

perso, je trouve que le nouveau n'est pas mieux et assez cassant (même si patrice05 aurait sûrement dû regarder la doc et tourner 7x la langue dans sa bouche avant de poster), pas informatif de ce qu'il y a dans le topic.

Modifié le 2 janvier 2018 par Brunchto
mot manquant

[PATRICE05]

il y a 27 minutes, Einsteinium a dit :

S’il y avait eu une faille majeure... j’aurais été le premier à la postée si aucun autre n’avait réagît avant...

Bref un peu de lecture te fera grand bien, cf ma signature pour les tutoriels...

Ps : modification du titre racoleur...

Merci pour la modification du titre, à part pour le plaisir de montrer que vous avez le pouvoir du modo (et la modestie inhérente à votre pseudo), je n'en vois pas l'utilité de ce titre, d'autant plus que je ne suis pas certain que tout le monde soit au courant de cette particularité des NAS synology, je vais tester chez QNAP pour voir si c'est si c'est si évident que vous semblez le penser.

Pour les liens, merci, je pense connaitre à peu près correctement les appareils et leur utilisation bien que l'on en sache jamais trop.