Aujourd’hui, on apprend que la sécurité de vos données sur les MyBook Live est compromise. Un script malveillant tourne sur divers serveurs, détecte ces machines et les cible pour effacer la totalité des données stockées dessus.
Je sais que mes lecteurs sont tous des gens prudents et attentifs à avoir plusieurs sauvegardes de leurs données sensibles à différents endroits. Je ne m’en fais pas trop pour eux. Par contre, si vous êtes un lecteur de passage, imprudent au point de ne pas avoir de multiples sauvegardes et le propriétaire d’une solution Western Digital MyBook Live. Arrêtez ce que vous faites et aller débrancher le port Ethernet de votre appareil. Sérieusement.
La menace est grave, aucun utilisateur ayant eu son stockage effacé n’a réussi a le restaurer pour le moment. Tous les scénarios se ressemblent avec un engin connecté sur un réseau domestique classique. Et puis un matin, plus d’accès aux données enregistrées dessus. Les apparences sont conservées, l’ensemble de l’arborescence des dossiers est toujours intacte mais les données ont été effacées. Les dossiers sont tous vides.
Le problème de ce WD MyBook Live, c’est qu’il s’agit d’une machine qui s’oublie presque vu son âge et son endurance. La mienne date du début des années 2010 et sa dernière mise à jour de sécurité de 2015… Je n’y accède pas vraiment, des données y sont stockées en plus d’autres solutions de stockage dans le cloud et en local. Une sorte de triple rustine « au cas où » surtout utilisée pour des photos et des films perso.
Mais pour certains, c’est un vrai drame puisque l’ensemble de leur travail a été perdu, effacé. Seul ce type d’engin a été utilisé pour la sauvegarde des données… L’outil étant souvent utilisé comme extension d’un stockage de base trop faible sur un portable par exemple.
Les machines effacées ont toutes eu droit à un reset du système avec le même détail de fonctionnement posté par un utilisateur :
Jun 23 15:14:05 MyBookLive factoryRestore.sh: begin script:
Jun 23 15:14:05 MyBookLive shutdown[24582]: shutting down for system reboot
Jun 23 16:02:26 MyBookLive S15mountDataVolume.sh: begin script: start
Jun 23 16:02:29 MyBookLive _: pkg: wd-nas
Jun 23 16:02:30 MyBookLive _: pkg: networking-general
Jun 23 16:02:30 MyBookLive _: pkg: apache-php-webdav
Jun 23 16:02:31 MyBookLive _: pkg: date-time
Jun 23 16:02:31 MyBookLive _: pkg: alerts
Jun 23 16:02:31 MyBookLive logger: hostname=MyBookLive
Jun 23 16:02:32 MyBookLive _: pkg: admin-rest-api
Ce genre de manipulation exige normalement de multiples confirmations pour venir à bout de nombreux messages d’avertissement concernant le risque de voir ses données disparaitre. Je suppose qu’un développeur malintentionné a créé un script sur la base d’un programme de Western Digital destiné à faire ce formatage d’Usine mais l’a modifié pour le rendre automatique. De nombreux utilisateurs signalant qu’ils n’étaient pas physiquement présents lors de cette funeste opération.
Pourquoi écrire ce genre de script ? Je n’en ai aucune idée. Je pense aux personnes qui vont perdre des milliers de photos personnelles et autant de souvenirs précieux. Celles sui vont voir des travaux importants disparaitre… Et je me dit que certains ont vraiment du temps à consacrer à nuire à leurs semblables, s’imaginant comme des cyber-héros invincibles mais n’étant finalement que de petites crottes sans envergure.
Western Digital recommande de débrancher vos appareils, le temps que la marque trouve une solution et propose probablement une mise à jour du système. Si vous êtes concerné par ce problème, une page donnera des informations sur les évolutions à suivre dans le futur pour résoudre ce problème.
On me demande souvent pourquoi certains MiniPC ont deux ports Ethernet et en quoi cela est utile. La principale raison est de pouvoir adresser deux réseaux filaires en parallèle. Et nous avons ici un cas typique de l’utilité d’une telle mesure. Avec deux ports Ethernet, il est possible de profiter d’un stockage de ce type, sensible aux attaques, sur un réseau indépendant. Non relié à Internet.
| 2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
je ne suis pas sur de comprendre l’idée
l’attaque se fait via internet (Un script malveillant tourne sur divers serveurs, détecte ces machines et les cible)?
c’est bizarre comme configuration
je pensais que tout le monde mettait son nas derrière un pare feu et sans possibilité d’aller à l’extérieur, et que l’accès externe si nécessaire ne se faisait qu’avec un VPN
Il y a une solution pour pouvoir toujours les utiliser en toute sécurité en local uniquement
Dans la configuration ip : mette en passerelle l’ip du WD MYBOOK LIVE ce qui fera que celui-ci ne pourra plus communiquer avec le net mais pourra toujours communiquer avec vôtre réseau local
Ce n’est pas l’idéal car plus d’accès depuis le net mais ça permet quand même d’avoir accès à ses données en local
@eugene: peut être que le nas interroge les serveurs pour une éventuelle mise à jour et télécharge malgré lui un programme auto-malveillant…@gaetan: pardon mais je n’ai pas compris !
Cela permet aussi de rappeler que beaucoup de produits (comme les smartphones) n’ont plus de mise a jour très rapidement (et encore quand ils en ont…). Et qu’un produit sans mise à jour et connecté au réseau en permanence (et de surcroît accessible par internet) c’est suicidaire.
Pour le grand public cela se comprend d’acheter un cloud perso, pour les autres mieux vaut passer par un mini pc et une distribution bsd/linux facile a installer & configuer, qui pourra être mis à jour régulièrement… enfin surtout si son propriétaire ne l’oublie pas.
Aaaah les dust boxes ^^
@Xo7:
Dans la configuration ip : mette en passerelle l’ip du WD MYBOOK LIVE
exemple si le WD MYBOOK LIVE a pour ip 192.168.1.44: dans la configuration réseau de celui ci faute mettre dans les champs ip et passerelle : 192.168.1.44 ce qui aura pour effet de pouvoir toujours l’utiliser dans son réseau local tout en empêchant celui-ci d’accéder au net et donc d’être vulnérable
mais dans un cas général il faut faire en sorte qu’un NAS quel qu’il soit ne soit jamais accessible depuis internet sans passer par un vpn car en cas de problème de sécurité il y a un grand risque de perte de données
J’ai pour souvenir pas mal d’amis qui on perdu de giga de données sur des nas SYNOLOGY accessible depuis le net suite à un problème de sécurité et se sont retrouver avec les données chiffrées par un ransonware
–> Je recommanderais d’éteindre électriquement l’appareil et de *ne plus rien écrire* dessus.
Il n’est pas impossible que les fichiers soit encore présents sur le disque. Certains logiciels permettent d’en récupérer une bonne partie même en l’absence des entrées de répertoire.
*Pour les victimes de l’attaque, …
@FreeThinker
« La menace est grave, aucun utilisateur ayant eu son stockage effacé n’a réussi a le restaurer pour le moment. »
Aurait-on affaire à un formatage bas niveau, empêchant la récupération de données via un logiciel tiers ?
@Pierre
Pour l’avant dernière-phrase, ne voulais-tu pas dire « insensible aux attaques » ?
Le fait de ne brancher que le câble d’accès au réseau local et de ne pas spécifier de passerelle par défaut, telle que celle de la Box, suffirait à conserver un mode offline d’Internet.
2 ports Ethernet servent surtout à pouvoir se trouver sur 2 réseaux différents.
Comme avoir un PC sur un réseau Ethernet en 192.168.1.0 et un réseau Wifi 192.168.0.0
Physiquement les 2 réseaux ne peuvent pas communiquer ensemble, mais le PC peut avoir accès aux 2, voire se comporter comme un pont entre les 2 si on le lui demande.
@Dliryc: Pas besoin d’aller jusqu’au formatage de bas niveau, juste replacer le contenu des fichiers par autre chose (par exemple, tout écraser avec des 0) suffit à tout perdre, en tout cas sans consacrer des moyens disproportionnés à la récupération. En effet, dans le temps, on considérait qu’il fallait 5 réécritures de données différentes par-dessus celle à détruire pour la faire disparaître définitivement (l’explication étant que le tête de lecture-écriture du disque ne se positionne jamais exactement au même moment, donc il était possible, avec du matériel très sophistiqué, de lire la bordure des pistes et de retrouver des données réécrites. Maintenant que l’enregistrement est perpendiculaire et beaucoup plus dense, je pense que les données sont encore plus faciles à faire disparaître pour de bon.
Hello, c’est terrible. Surtout s’en prendre à des particuliers.
J’invite tout le monde à se tourner vers des solutions d’auto-hébergement si possible (c’est pas toujours aussi simple pour tous).
J’ai l’intention de faire un article sur le forum pour se monter facilement un NAS avec pas mal de fonctionnalités faciles à gérer (graphiquement, avec Yunohost), à moindre coût (je dois acheter la dernière pièce du matériel). J’espère que ça pourrait aider les motivés.
@prog-amateur: Je confirme qu’étant un gros béta, je n’ai jamais trouvé un tuto simple et complet sur « l’internet » pour monter une machine fonctionnelle en NAS, même sans la connecter au net, écrite de manière simple, intelligible, sans 10 ans de connaissance implicite.
On a des OS variés qui sont tous les meilleurs, tiennent sur des cartes SD, on a des des RaspPI, des Freenas, des guides avec des avertissements : « attention, notez bien ce mot de passe vous ne le verrez qu’une fois, bref, quand tu n’as pas eu de formation réseau, c’est la grosse merde dans ta tête dès que tu veux faire ce genre d’exercice. Sans compter que si tu fais la moindre erreur (par ignorance), tu laisse une brèche béante au méchant russe/chinois/indien/israélien/américain/breton/auvergnat qui veut te pourrir en bouffant des chips et en te regardant pleurer parce que t’a perdu les photos de ta gosse ou de ta mère qui a quitté ce bas monde.
Alors tu restes aux bons vieux disques HDD/SSD/USB3.1 en 2,5 pouces pour les bouger et tu backupes souvent.
Et tu prends un Lexomil.
Tiens, ça me revient…ma box Orange, a un port USB et fait serveur de fichier, je crois que j’ai juste à brancher mon disque USB dessus…) mais Orange va-t-il en profiter pour regarder mon contenu ?
Putain, c’était tellement mieux la vie sous Windows 98 !!!
Débranché depuis longtemps. C’est pas la première faille de sécurité sur ses produits. Et quand il y a plus de mise à jour!!!
On peut se demander si WD n’était pas au courant (demande de chantage ?) du problème avant que ce process d’effacement de disque à distance des utilisateurs.
@eugene: Ce type de produit avait l’avantage de pouvoir rendre accessible facilement à l’extérieur de chez toi tes données dessus. Avec ma connexion montantes de ma box, j’ai jamais vraiment utilisée. C’est aussi pour ça que j’ai jamais mis de donnés perso dessus (vaut mieux prévenir une éventuel faille de sécurité).
On va voir comment sa tourne, mais aux État-Unis; mais WD risque d’avoir un procès de la part de ses utilisateurs. En tout cas, mauvaises pub pour eux.
@dliruc @IvanP.: lisez par exemple les posts de t4thfavor sur le forum de WD. Il explique avoir pu récupérer, dans le passé, de très précieux fichiers après les avoir effacés par accident. Il précise que ça peut coûter des sous… J’ai moi aussi eu l’occasion d’utiliser, avec succès, les logiciels que j’évoque.
Ma recommendation est simplement de ne pas céder à la panique et de figer l’état des disques pour pouvoir maximiser les chances de récupération. Après, chacun fait comme il l’entend…
@Dliryc pardon…
@Pierre Lecourt
Wow! Et je n’avais pas de sauvegarde de mon dernier post, désormais volatilisé… (lol et ?)
@FreeThinker: ?
(Il y a un petit Répondre qui apparait en bas à droite des commentaires quand on les survole pour pouvoir citer facilement les personnes à qui on répond)
@Pierre Lecourt:
Ah oui! Cool, merci.
Bonsoir et le wd mycélium ex2ultra c’est plus sur ?merci
Honte à WD, vu la faille (accès root depuis l’extérieur), exposée depuis 2 ans …
Après c’est sûr que les attaquants sont des enflures … on ne sait p-e pas tout (mode complotiste activé), çà pourrait être un gamin de 14 ans ou bien un employé d’une boîte concurrente.
J’ai un serveur dédié depuis des années : le nombre de tentatives de connexions (divers protocoles notamment SSH, divers comptes, …) par jour est juste DELIRANT, c’est de la folie (et ce sont des « scripts-kiddies » qui cherchent des failles).
Sur ce point précis, la meilleure défense c’est EndleSSH (avec reconfiguration du port SSH sur autre chose que 22) : juste changer le port n’aura que peu d’impacts pour les attaquants (leurs scripts passeront en 1 ms à une machine), alors qu’avec EndleSSH, qui reste exposée sur le port 22 et utilise certaines particularités du port SSH, la connection est constamment maintenue (indéfiniment), sans que le script de l’attaquant tombe en erreur (ou en timeout, s’il y a un timeout). Au moins çà ralentit les attaques …
https://github.com/skeeto/endlessh
https://nullprogram.com/blog/2019/03/22/
Bon… panique a bord je n’y connais rien aux réseaux.
J’ai bricolé mon réseau a partir d’un routeur raccordé à ma box (qui ne gère plus le routage). Free lors des dépannages réalisés ne voit pas mon réseau domestique (cela perturbe un temps le diag du dépannage). Mon nas n’a pas été configuré pour un accès externe toutefois, le réseau lui permet de rechercher les mises à jour…
Suis je vulnerable ? Oui mais à quel degré ? Comment faire un réseau domestique complètement indépendant de l’internet tout en profitant des mises à jour pour le matériel ?
Avez vous un livre simple et efficace sur la configuration d’un bon réseau ( en français, je ne sais pas pourquoi, mais je maîtrise un peu mieux cette langue que les autres !) ?
Honnêtement je dispose d’un tas d’options entre les configurations nas et routeur (toutes en anglais! J’ai traduit les notices mais certaines fonctions ne sont explicitées pour elles même ou vis à vis d’autres fonctions proches), mais en tant que « nul niveau1 » une fois que cela fonctionne j’évite d’y mettre les mains, surtout quand la famille derrière rouspète lors des redémarrages de ces éléments clefs du réseau.
De prime a bord il faudrait deux routeurs ? Un réseau public pour l’accès direct à internet dont TV . Et un autre pour le réseau privé ?
@Pierre Lecourt:Pierre tu as matière a faire un article même très général du genre « Un réseau pour les nuls » avec l’aide de tes lecteurs . Il faudra jouer avec le forum pour les cas particuliers.
Merci d’avance.
Et il me semble avoir vu le produite en vente encore récemment, mais bon, on est en France, le pays ou ont te vend de la tablette d’un « spécialiste du matériel télécom » issue des surplus dont le marché chinois ne veut plus, sous un vieil allwinner cortexA7, sous android 8.1 ou 9, et on te badge tout ça « la french tech » pour faire passer la pilule
Une loi qui contraindrait à une Maj OS sur ne serait ce que deux ans avec ouverture Firmware à l’issue ferait pas mal de ménage dans les rayons
Moi le problème est résolu, pas de NAS, seulement des DD externes connectés en cas de besoin
Pierre je pense que un bon conseil à donner et/ou rajouter dans l’article serait de désactiver l’UPnP sur les box… (livebox frebox etc.)
C’est via l’UPnP que les box ouvrent vers l’exterieur les ports qui rendent accessibles de l’exterieur les appareils commes les NAS.
Alors ok c’est simple, ça fonctionne bien… mais c’est une passoire ! Dès que je mets un NAS quepart je desactive l’UPnP et les services du genre « connect machin », sauf si on sait vraiement ce qu’on fait… Je préfère infiniment n’ouvrir que le strict minimum de ports, décalés par rapport aux ports standards.
et merci Django pour Endlessh je connaissais pas :)
Le problème de ces NAS vient surtout du fait qu’il s’agit de version « Cloud » (DLink a fait pareil) qui s’exposent par le Net pour accéder à ses données de l’extérieur.
C’est une bonne idée, mais il faudrait un maintien à jour permanent… sinon on voit les dégâts.
Je trouve qu’il est difficile, de nos jours, pour le non informaticien, de sauvegarder sereinement ses données.
J’ai un vieux DNS320, qui n’était pas cher (80€), tout petit, avec du RAID1. Il fait son taf, ne s’expose pas sur le Net, et me sert de backup de mon NAS principal.
Il me reste à mettre en place encore 1 niveau, avec un disque offline (la flemme, vous connaissez ? :) )
Car même si on ne s’expose pas aux scripts malveillants de l’Internet, on n’est jamais à l’abri soi-même (ou de voir quelqu’un de la famille, au domicile, le faire) d’ouvrir un mail pourri, avec un ransomware qui va pourrir le réseau interne, pare-feu ou pas.
Il y a les données sur lesquelles on travaille tous les jours (travail, dév, …), et là il faut un NAS pour les sauvegarder, les manipuler, tout ça.
Et les données statiques, comme les photos de famille, voire les travaux terminés; des choses qui ont une valeur infinie car irremplaçables. Ceux-là, il faut les rendre accessible par le NAS, bien sûr, mais surtout les sauvegarder 2 ou 3 fois en offline pour éviter tout risque de les perdre.
Comme c’est pas automatique, c’est dur d’avoir la discipline pour le faire dans l’intégralité de la population…
Tiens ça donne une idée : ne peut-on pas imaginer un NAS qui ferait des backups incrémentaux sur disque externe, sans possibilité facile de dézinguer les données facilement ? Ca sauverait tellement de données…
@FreeThinker: Ce que tu décris ne fonctionne qu’en cas d’effacement simple. Avec ce que je décrivais (bourrer des zéros dans le fichier en écrasant son contenu) rend toute récupération impossible depuis le PC lui-même. Enfin peut-être pas avec un SSD, mais ce serait un monstrueux coup de bol qu’il reste quelque chose à récupérer.
Ceci parce que lorsqu’on efface un fichier, l’entrées dans le répertoire est juste supprimée, et l’emplacement du fichier marqué comme libre. Tant que personne ne vient écrire quelque chose par-dessus, le contenu du fichier lui-même n’est pas perdu, et des outils spécialement écrits pour reconnaître les en-têtes standard en début de fichier (au hasard JPG) peuvent les détecter et tenter une récupération.
Si tu as expressément écrasé le CONTENU de ces fichiers, que ce soit avec un outil dédié ou à cause d’un script malicieux, c’est mort.
Une autre solution très simple est via votre box/routeur d’interdire l’accès internet/en sortie de l’IP de ce NAS.
Facilement réversible le jour où un correctif sera disponible et ça évite de modifier la conf d’un vieil appareil comme celui ci.
Pour les plus expérimentés, bloquer les ports 80 & 443 de l’IP du NAS sur votre routeur en E/S reveient au même.
Par contre, le côté private cloud de votre NAS sera indisponible, mais c’est mieux que de perde vos données
@Xo7: pour accès au réseau interne sans accès à internet, et ce pour certaines machines de ton réseau, cela se gère avec les VLAN ;)
Encore faut-il avoir un routeur qui gère les VLAN, la configuration personnalisée des tables de routage, les règles de firewall en fonction des VLAN, etc… Mais ce n’est pas du plug’n’play il faut un peu de lecture à propos de ces techniques. Perso j’utilise des petits routeurs Ubiquiti EdgeRouter X pour cela, mais il y en a d’autres capable de faire cela. Et il y a tout un tas de gens assez méfiants des objets connectés qui utilisent les VLAN afin d’isoler leurs gadgets, donc on trouve de la documentation sur le web ;)
Rien de tel que son serveur perso tournant sous Debian et réveillé à la demande via le wol. C’est plus cher (faut le routeur et le mini pc) mais c’est très sécurisé (minimum de services lancés et connecté au net seulement en cas de besoin).
@IvanP.: en fait l explication est qu’il y a une rémanence magnétique sur tout matériau de ce type. Avec des outils qui forcenet la tête de lecture et sa précision, on arrive a détecter la rémanence et a e déduire la position originelle du bit. Au bout d un certain nombre d’écriture, cette rémanence n’est plus détectable.
De fait, la position approximative de la tête du disque n’a que peu d importance car elle se « contente de faire basculer l’état du matériau en dessous sur une certaine surface.
@IvanP.:
Ce que vous dites est tout à fait exact. Je suis optimiste par nature et je pense plus à un simple « formatage standard », dans le cas présent. Mais, je n’en sais absolument rien…
– Donnons la meilleure chance aux victimes de retrouver leurs données et gageons que WD apportera des réponses rapidement
– Je n’ai pas lu tous les posts du forums WD (47 minutes à prévoir…) mais, dans le peu que j’en ai lu, je n’ai pas rencontré de témoignage « désespéré ». Ce qui est plutôt bon signe.
Dans la cadre de la réflexion menée, ici, sur les sauvegardes, pensez également aux risques de cambriolages et à la « durabilité » des supports utilisés, des technologies employées (interface de raccordement notamment). Le cloud, peut-être mais…
Ça donne à réfléchir quand on contemple, avec émotion, la photo de mariage des arrière grands parents qui nous est parvenue sans dommages…
Une explication possible à ce hacking est qu’une personne devait mettre hors jeu un wd mybooklive et que pour maquiller son geste (ou arriver à ses fins) il doit faire sauter tous les appareils de la planète
@Haruhi: Un peu extrême mais clairement pas impossible.
@Haruhi: +1
@Haruhi: une autre explication probable est que les WD MYBOOK étaient tellement vulnérables comme des passoires depuis des années et que beaucoup d’entre-eux étaient probablement déjà encollés silencieusement dans des botnet. Quelqu’un a pu juste vouloir mettre un terme à ce réseau de zombies, sachant que ni WD ni les propriétaires de ces NAS ne le ferait.
La découverte récente que la nécessité d’authentification pour effectuer des taches administratives à distance sur ces NAS WD MYBOOK a été volontairement désactivée depuis un bon bout de temps, peut plaider pour cette hypothèse. Voir la fin de cet article: https://hackaday.com/2021/07/04/hackaday-links-july-4-2021/
@pourinfo: On m’avait dit que c’était parce que la tête a une légère imprécision mécanique, et de fait, elle n’est pas exactement au même endroit à chaque fois – du coup, en lisant les bords de la piste, on peut avoir des restes d’états antérieurs. Mais ça, c’était avant le PMR (perpendicular magnetic recording), je crois que maintenant les pistes sont beaucoup plus fines (pour augmenter la densité des disques) et que l’enregistrement se fait « en profondeur » dans le disque, et je suppose que cette technique compromet la lecture des « bords »…