WD My Book Live : éviter l'attaque qui efface toutes les données
Vous avez un NAS Western Digital My Book Live ? Déconnectez-le d'Internet sans attendre ! Une attaque massive a entraîné l'effacement à distance de toutes les données chez de nombreux utilisateurs à travers le monde.
Le 23 juin, de nombreux utilisateurs WD My Book Live ont eu une très désagréable surprise en découvrant que toutes les données enregistrées sur leur disque dur en réseau (NAS) avaient disparu. Et sans raison apparente, car ils n'avaient effectué aucune opération particulière. En quelques heures, les témoignages affolés se sont multipliés sur la Toile et sur Twitter, prouvant qu'il ne s'agissait pas d'accidents isolés. Le forum de support de Western Digital, le fabricant de ces systèmes de stockage très populaires, s'est rapidement empli de messages désespérés appelant à l'aide. "J'ai un WD My Book Live connecté à mon réseau local qui a bien fonctionné pendant des années", écrit la personne qui a lancé le fil de discussion. "Je viens de découvrir que toutes les données y ont disparu aujourd'hui : les répertoires semblent là mais ils sont vides. Auparavant, le volume de 2 To était presque plein : maintenant, il affiche sa pleine capacité." Certains utilisateurs rapportent même que l'accès au NAS leur est désormais interdit, l'appareil leur réclamant un nouveau mot de passe qu'ils n'ont évidemment pas. Bref, la panique et la catastrophe, car les données effacées sont perdues à jamais. Adieu donc documents, photos, vidéos et autres fichiers personnels accumulés pendant des années sur ces dispositifs conçus justement pour effectuer des sauvegardes de sécurité…
De l'aveu même de Western Digital, ce phénomène n'a rien d'accidentel : il s'agit d'une attaque massive via Internet. Mais la cause exacte n'est clairement identifiée. Il semblerait qu'un script de réinitialisation complète du disque a été lancé à distance via un malware, en profitant sans doute d'une faille de sécurité. On ignore l'origine de ce logiciel malveillant et les intentions de ses créateurs, qui n'ont émis aucune revendication. Cela ne change rien au résultat pour les victimes qui n'ont aucun moyen pour récupérer les données supprimées.
Western Digital a réagi rapidement en conseillant à ses clients de déconnecter immaditaement leurs appareils My Book Live d'Internet pour éviter de nouvelles attaques."Western Digital constate que certains appareils My Book Live sont compromis par un logiciel malveillant. Dans certains cas, cette compromission a conduit à une réinitialisation d'usine qui semble effacer toutes les données de l'appareil. L'appareil My Book Live a reçu sa dernière mise à jour de micrologiciel en 2015. Nous comprenons que les données de nos clients sont très importantes. Pour le moment, nous vous recommandons de déconnecter votre My Book Live d'Internet afin de protéger vos données sur l'appareil. Nous enquêtons activement et nous fournirons des mises à jour sur ce fil de discussion lorsqu'elles seront disponibles", a déclaré le fabricant.
Si vous utilisez un NAS My Book Live, déconnectez-le immédiatement d'Internet et du réseau local pour éviter que son contenu soit effacé.
Le 30 juin, quelques jours après l'attaque, Western Digital a publié un nouveau communiqué suite à son enquête. Le constructeur reconnaît que "les appareils My Book Live et My Book Live Duo connectés à Internet sont attaqués par l'exploitation de plusieurs vulnérabilités présentes. Dans certains cas, les attaquants ont déclenché une réinitialisation d'usine qui semble effacer toutes les données de l'appareil." Il précise également que le problème vient d'une faille de sécurité du micrologiciel, estampillée CVE-2021-35941. "Cette vulnérabilité peut être exploitée pour exécuter des commandes arbitraires avec les privilèges root. De plus, le My Book Live est vulnérable à une opération de réinitialisation d'usine non authentifiée qui permet à un attaquant de réinitialiser l'appareil aux paramètres d'usine sans authentification."
L'enquête de Western Digital a révélé que les attaquants se sont directement connectés aux appareils My Book Live concernés à partir d'une variété d'adresses IP dans différents pays. Dans certains cas, deux vulnérabilités ont été exploitées : la première pour installer un logiciel malveillant, la seconde pour réinitialiser l'appareil. Dans certains cas, les attaquants ont installé un cheval de Troie avec un fichier nommé .nttpd,1-ppc-be-t1-z, un binaire Linux ELF compilé pour l'architecture PowerPC utilisée par le My Book Live et Live Duo. Le fabricant précise par ailleurs que ses services cloud ne semblent pas avoir été compromis. Seuls les modèles de la série My Book Live, lancée sur le marché en 2010, sont concernés. Les chercheurs en sécurité de Censys estiment que cette attaque aurait touché plus de 13 000 appareils dans le monde, dont plus de 500 en France.
À partir du mois de juillet, Western Digital fournira des services de récupération de données aux utilisateurs ayant perdu des fichiers à la suite de cette attaque massive. Les possesseurs de My Book Live se verront également proposer un échange pour passer à un appareil My Cloud, une gamme qui n'est pas affectée par cette faille de sécurité