Au lieu de partir dans des conversations qui fusent dans tous les sens sur des trucs qui parfois n'ont pas grand chose à voir avec synolocker j'aurais trouvé beaucoup plus instructif d'avoir une sorte de recensement avec une approche bien mieux cadrée.
Par exemple :
- combien de personnes ont été réellement touchées par cette saloperie ?
- sur quel matériel syno ?
- sous quel DSM ?
- sous quel type d'utilisation du syno ?
- avec quel type de box/routeur ?
- de quelle période à quelle période ?
- avec quelle configuration des ports d'entrées ?
- lors d'accès à des sites de téléchargements par exemple ?
- combien (dans les infestés) ont fait la bêtise de payer ? Et avec quel taux de résultat positif ? De toute façon on ne doit jamais payer une rançon...
...
Première constatation : synology a répercuté le coup très rapidement, ce qui chez eux est assez habituel. La solution ne consiste pas (grand mal français) à d'abord et avant tout trouver un lampiste à qui faire porter le chapeau. On parle peut-être d'une faille hypothétique qui pourrait peut-être avoir existé... Alors on s'empresse de hurler "Mais que fait la police ?" (pardon "que fait synology ?") Comme si ces hurlements allaient conjurer les dégâts. Vous me faites penser aux mecs qui se payent à prix d'or une superbe porte blindée avec serrure incrochetable mais qui ne donnent jamais un tour de clé et laissent la porte grande ouverte pour que le chien puisse aller pisser quand bon lui semble.
Avez vous une seconde analysé ce qui se dit sur la majorité des posts ? On parle partout de "mots de passe archi compliqués" je veux bien mais d'abord les mots compliqués se cassent bien eux aussi et assez facilement semble t-il. On parle aussi beaucoup (trop ?) de cryptage sécurisé en https, tout ça je veux bien mais ce que j'entends surtout et qui n'a pas l'air de faire frétiller les oreilles de personne est qu'on laisse l'accès à son DSM par le port 5000 (ou 5001 pour les rois du crypt) et pourquoi pendant qu'on y est ne pas mettre de grands panneaux indicateurs bien lisibles indiquant bien où se trouve le magot !
Je suis effaré par le nombre de box que je rencontre et qui roulent depuis des années avec le mot de passe "usine". Le mec rapporte sa box, la branche et jubille que ça marche sans rien faire... et laisse ouvert un boulevard, que dis je, une autoroute pan-américaine pour les truands.
Qui change le nom de son réseau "MSHOME" ?
Qui change son plan d'adressage interne ? Tout le monde garde le sempiternel 192.168.0.1 ou 192.168.1.1, vous croyez vraiment que les bandits sont si primaires qu'ils ne l'ont pas remarqué ?
Sur une douzaine de synos dans mon entourage, je ne les ai pas encore tous auscultés mais sur le 5 premiers 2 sont encore (et depuis de très longs mois) sous la sécurité "admin" et aucun pass !
Et tout ce beau monde là fait turbiner le syno sur les mules et autres joyeusetés à malwares et dorment sur les deux oreilles.
Qui à activé sa protection "5 erreurs en 10mn == blocage du postulant ?" Ce n'est peut être pas le summum de la sécurité mais c'est quand même mieux que rien.
Bien sûr qu'il y a des ports quasi incontournables, quoique ! Le fameux port 21 pour le FTP peut tout à fait être remplacé par un autre moins explicite surtout si le trafic FTP que l'on fait ne s'adresse qu'à un comité restreint.
Avant de se dépêcher à hurler avec la meute commençons d'abord par faire fonctionner nos "petites cellules grises" comme disait un certain détective belge. Analysons vraiment ce qui se passe et comment. Ensuite tirer les conclusions et agir juste ce qu'il faut là où il faut.
Mettre systématiquement à jour les logiciels ? Mais pourquoi ? Ecoutez moins les marchands de logiciels et mettez vous à la place d'une crapule : Il va se dire que le plus grand nombre de machines ayant le même logiciel seront justement ceux qui sont toujours mis à jour. Ca arrange notre "héros" parce que ces moutures tout juste sorties du four comportent toujours des petites lacunes (certains disent failles) et notre bandit aura moins de boulot à trouver la faille. Alors que sur le peu de vieilles versions, par dessus le marché assez disparates il touchera beaucoup moins de clients.
C'est le syndrome Linux. Tant que Linux était très peu employé les pirates ne s'y sont pas intéressés alors on a dit "linux est incassable". Oui enfin ça commence à être moins vrai maintenant qu'il commence à y avoir un peu plus de poissons à attraper.
Alors évidemment pour ceux qui ont subi la choses ils vont se dire que le "vieux machin radoteur" (moi !) est bien gentil mais ce n'est pas mes racontars qui vont leur faire récupérer leurs données.
Sauf qu'ils rigolaient tous quand le "vieux..." et beaucoup d'autres de ses potes leur rabâchaient sans fin de faire de vraies sauvegardes sérieuses et régulières.
Si aujourd'hui ils les avaient, on les entendrait moins et on les verrait plutôt formater leurs syno et recharger leurs sauvegardes, tout simplement.
Pour ceux qui me demandent, et je les en remercie, comment ça va chez moi, je leur dirais qu'à l'annonce de la petite chose (vers 4h du mat) j'ai stoppé mon syno et me disant que je verrai demain. Ensuite j'ai lu un peu tout ce qui se disait et j'ai déduit que le gros danger se trouvait sur les ports habituellement connus (bon nombre ont parlé du port FTP). Je les ai donc fermé, j'en avais deux, le FTP et le port , puis j'ai remis le syno.
Depuis 4 jours tout va bien merci. Je pense rouvrir le port FTP sous un autre numéro. Bien sûr il faudra que je donne l'information au 5 personnes de mon entourage qui en ont besoin, dans mon cas ce n'est pas rédhibitoire.
Mais quand je pense qu'il parait que bon nombre de syno sont en DMZ de façon habituelle, là, ça me dépasse ! ! !