Après l’alerte portant sur les NAS Synology/BeeStation, le mois des failles continue de plus belle : c’est au tour des propriétaires de NAS D-Link d’avoir des sueurs froides, et la réponse du constructeur est plutôt étonnante.
Une faille critique, ça arrive, ça se bouche, mais c’est déjà ennuyeux. Une faille critique zero-day, c’est déjà plus rare, mais beaucoup plus embêtant : comme son nom l’indique, elle est déjà exploitée quand elle est découverte. Et elle est très souvent bouchée aussi rapidement qu’elle est apparue par le constructeur, ce type de nouvelle n’étant pas pour aider l’image de marque.
Il semble que D-Link se moque éperdument de cette dernière, tant la solution proposée à la faille CVE-2024-10914, exploitée depuis le 12 Novembre 2024 et permettant d’envoyer du code malicieux par requête HTML, est aberrante : les appareils concernés sont en fin de vie et ne seront pas patchés. La marque invite les clients concernés à changer leur matériel.
Voilà qui va satisfaire les personnes possédant ces NAS, pour certains encore en vente il y a moins de 10 ans (âge plus que raisonnable pour un NAS familial, par exemple), qui sont selon Bleeping Computer encore plus de 61 000 à être connectés à Internet, à travers plus de 41 000 adresses IP distinctes ! Il est donc plus que conseillé de débrancher du réseau les NAS des séries DNS-320, DNS-320LW, DNS-325 et DNS-340L.
Quoiqu’il en soit, ne vous laissez pas aller à la tendance voulant qu’une fois installé, le NAS se fait tellement discret qu’on l’oublie : comme tout matériel informatique, il est et sera vulnérable à certaines attaques, plus ou moins complexes. Vérifiez régulièrement que les mises à jour de sécurité soient effectuées, et que votre NAS soit encore pris en charge par le constructeur, au risque sinon de le payer très cher...