Une faille de sécurité critique sans clic a été découverte dans les périphériques de stockage populaires du monde entier. Cela pourrait affecter des millions de personnes.
Quand on parle de faille de sécuritéil faut savoir que son type influence sa gravité. LE “jour zéro» par exemple, sont particulièrement graves puisqu’ils désignent ceux pour lesquels aucun patch n’existe au moment de leur découverte.
Il existe également des vulnérabilités dites « zéro clic ». Egalement très dangereux, ils sont vulnérabilités que les pirates peuvent exploiter sans que vous ayez à faire quoi que ce soit. Pas de téléchargement de pièce jointe infectée, pas d’installation de malware déguisé, rien.
Celui découvert par les chercheurs en cybersécurité de Midnight Blue en fait partie. Elle a été repérée dans le cadre du concours de hacking Pwn2Ownqui vise justement à révéler un maximum de défauts afin de pouvoir les combler rapidement.
Ici, ce sont des millions de périphériques de stockage qui sont touchés. Plus précisément, les NAS de marque Synologie. Les serveurs de stockage en réseau constituent une cible particulièrement intéressante car ils contiennent beaucoup de données.
Une faille de sécurité sans clic affecte des millions de périphériques de stockage
La vulnérabilité réside dans leapplication BeePhotos installé et activé par défaut sur de nombreux NAS Synology. Il permet aux attaquants deaccéder à la machine et voler ce qu’elle contientmais aussiimplanter des logiciels malveillants ou une porte d’accès cachée (une « porte dérobée »). Les modèles de la gamme BeeStation sont concernés. Ceux qui ont téléchargé l’application photos en question auprès d’autres personnes sont également concernés.
Les chercheurs ont pu identifier NAS utilisé par la police française par exemple, mais aussi par entreprises de transport ou cabinets d’avocats aux États-Unis ou même en Corée du Sud. Alerte, Synology a déployé des correctifs, sauf qu’ils ne sont pas appliqués automatiquement.
Vous devez donc vous assurer de mettre à jour manuellement l’application BeePhotos pour éviter tout risque d’infection. S’ils n’en étaient pas conscients, les pirates peuvent désormais utiliser le correctif pour comprendre comment exploiter la faille, alors ne tardez pas.
Source : Filaire