Une faille de sécurité critique de type “zero-click” a été découverte sur des appareils de stockage très répandus dans le monde. Elle touche potentiellement des millions de personnes.
Quand on parle de faille de sécurité, il faut savoir que son type influe sur sa gravité. Les “zero-day” par exemple, sont particulièrement graves puisqu’elles désignent celles pour lesquelles aucun correctif n’existe au moment de leur découverte.
Il y a aussi les failles dites “zero-click”. Également très dangereuses, ce sont des vulnérabilités exploitables par les pirates sans que vous ayez à faire quoi que ce soit. Pas de téléchargement d’une pièce jointe infectée, pas d’installation d’un malware déguisé, rien.
Celle découverte par les chercheurs en cybersécurité de chez Midnight Blue est de celles-là. Elle a été repérée dans le cadre du concours de hacking Pwn2Own, qui vise justement à révéler un maximum de failles afin qu’elles soient rapidement comblées.
Ici, ce sont des millions d’appareils de stockage qui sont touchés. Plus précisément, des NAS de marque Synology. Les serveurs de stockage en réseau sont une cible particulièrement intéressante dans la mesure où ils contiennent énormément de données.
Une faille de sécurité “zero-click” touche des millions d’appareils de stockage
La vulnérabilité se situe dans l’application BeePhotos installée et activée par défaut sur de nombreux NAS Synology. Elle permet aux attaquants d’accéder à la machine et de voler ce qu’elle contient, mais aussi d’implanter des malwares ou une porte d’accès dérobée (une “backdoor”). Les modèles de la gamme BeeStation sont touchés. Celles et ceux qui ont téléchargé l’application photos en question sur d’autres sont également concernés.
Les chercheurs ont pu identifier des NAS utilisés par la police française par exemple, mais également par des entreprises de transport ou des cabinets d’avocats aux États-Unis ou encore en Corée du Sud. Alerté, Synology a déployé des correctifs, sauf qu’ils ne sont pas appliquées automatiquement.
Vous devez donc vous assurer de mettre à jour manuellement l’application BeePhotos pour éviter tout risque d’infection. S’ils n’en avaient pas connaissance, les pirates peuvent désormais se servir du patch pour comprendre comment exploiter la faille, alors ne traînez pas.
Source : Wired