Aller au contenu

Ignorance majeure d’un utilisateur


Messages recommandés

Après quelques vérifications sur le net, je suis étonné que personne ne fasse mention d'une faille présente dans tous les NAS synology, cette faille permet d'avoir accès à l'intégralité du contenu du NAS sans aucune restriction pour peu que l'on ai accès physiquement au NAS en question pendant quelques minutes mais sans qu'aucune démontage ou manipulation interne ne soit nécessaire.

J'ai interpellé synology sur le sujet, il m'a juste été envoyé un message visant à me faire déactiver le DLNA :-)

Je suppose que certains sont déjà tombés sur cette aberration mais n'en n'ont pas parlés sur la place publique, pour ma part, j'ai trouvé ça limite quand j'ai vu que j'avais accès à l'intégralité des contenus d'un client pour lequel la sécurité est très importante.

Ça vous inspire quoi de savoir que toute personne qui peut mettre la main sur votre NAS peut avoir accès au contenu?

Modifié par Einsteinium
Édition du titre trompeur
Lien vers le commentaire
Partager sur d’autres sites

Je ne souhaite pas en dire plus tant que synology n'aura pas manifesté un peu plus d'intérêt à ce problème mais le fait est qu'il n'est nul besoin d'être un as de l'informatique pour mettre en œuvre la procédure, c'est surtout ça qui m'inquiète.

Pour info, j'ai testé sur plusieurs modèles, ça marche à tous les coups. (DS116, DS216J, DS1515+ et DS716+)

Modifié par PATRICE05
Lien vers le commentaire
Partager sur d’autres sites

à l’instant, Vtsax a dit :

Salut,

Moi pareil.. Et je t'avoue que j'aimerais savoir au moins.. Ce qu'il faut faire pour que ça n'arrive pas ?

Accès externe ou en interne ?

Merci

Que personne ne puisse mettre la main sur ton NAS, par contre l'accès distant n'est pas concerné.

il y a 1 minute, Vtsax a dit :

Même en désactivant certaine chose ?

Pas à ma connaissance

Lien vers le commentaire
Partager sur d’autres sites

Je comprend :)

Merci pour l'info

 

Entre nous je suis rassuré que ce ne sois qu'en interne quand même..

Les personnes qui viennent chez moi n'on accès qu'à un réseau Guest ^^ qui ne donne pas accès à mes équipement et qui n'as rien avoir avec mon réseau interne !

Lien vers le commentaire
Partager sur d’autres sites

Surtout que c'est une faille qui touche que de l'interne donc à la limite, il y à tellement de personnes compétente ici qu'elle pourrons se pencher sur le problème .. :)

Donc oui, faut le dire je pense

Lien vers le commentaire
Partager sur d’autres sites

il y a 19 minutes, Balooforever a dit :

Bonjour,

Tu parles du bouton Reset à l'arrière qui réinitialise le mot de passe admin ? :)

En effet, sauf que ça va plus loin, si tu effectues une réinitialisation complète, (1 appui reset jusqu'au "bip" suivit d'un deuxième appui), en théorie le NAS est réinitialisé, tu vas donc procéder à la réinstallation totale de l'appareil de la même façon que s'il était neuf sauf, qu'a la fin de la procédure, tu as accès à l'intégralité du contenu du NAS tel qu'il était avant le reset.

En conclusion, on se demande à quoi ça peut servir de mettre des mots de passe dans tous les coins dans la mesure ou il est possible à une personne mal intentionnée d'avoir accès à l'intégralité des données.

Dans mon cas, j'ai testé sur un de mes synology, puis sur celui d'un client photographe que changeait de matériel et enfin sur celui, mis au rebus, d'une administration, dans les trois cas, j'ai eu accès à tous les dossiers.

Déjà que je trouvais limite la technique qui permettait de récupérer le contenu d'un syno avec une carte RAID sur un ordinateur, là c'est encore plus simple.

J'ai bien conscience que ces deux procédures peuvent être bien utilises en cas de pépin et qu'elles ne  concernent que les personnes donc le NAS peut être physiquement accédé mais une donnée sensible n'est pas toujours inaccessible à une personne bien décidée.

 

Lien vers le commentaire
Partager sur d’autres sites

il n'y a rien de nouveau. le double reset ne concerne que la partition système... si tu ne veux pas que les dossiers soient visibles, faut les crypter sans montage au démarrage. et faire un zero-ing des disques avant une mise au rebus.

je boote sur ton PC avec un CD ou une clé usb, et je verrai toutes tes données.

je boote sur ton pc avec un CD et je vide le password admin, et j'aurais accès à toutes tes données une fois loggué

 

 

Modifié par Brunchto
Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Brunchto a dit :

il n'y a rien de nouveau. le double reset ne concerne que la partition système... si tu ne veux pas que les dossiers soient visibles, faut les crypter sans montage au démarrage. et faire un zero-ing des disques avant une mise au rebus.

je boote sur ton PC avec un CD ou une clé usb, et je verrai toutes tes données.

je boote sur ton pc avec un CD et je vide le password admin, et j'aurais accès à toutes tes données une fois loggué

 

 

Sur mon serveur, ce n'est pas certain bien que je connaisse une façon de faire que tu dits, ça ne t'étonnes pas plus que ça que l'on puisse faire sauter l'accès de ton NAS avec un trombone ?

Lien vers le commentaire
Partager sur d’autres sites

c'est le système qui gère la sécurité. si tu bootes ton PC sur un autre système ou que tu scannes le disque, tu auras accès aux données. Si tu veux que les données soient protégées, il faut les crypter.

quand tu fais une récupération de disque après un crash disque ou un plantage du système, tu es bien content de récupérer des données. un getdataback ou autres  logiciels se moquent bien des logins/ password et des autorisations qui peut y avoir sur système d'exploitation.

si tu cryptes tes dossiers sur le syno, sans montage auto au démarrage, les données ne devraient plus être accessibles après un double reset.

 

 

 

Modifié par Brunchto
Lien vers le commentaire
Partager sur d’autres sites

il y a 48 minutes, Einsteinium a dit :

Ps : modification du titre racoleur...

perso, je trouve que le nouveau n'est pas mieux et assez cassant (même si patrice05 aurait sûrement dû regarder la doc et tourner 7x la langue dans sa bouche avant de poster), pas informatif de ce qu'il y a dans le topic.

Modifié par Brunchto
mot manquant
Lien vers le commentaire
Partager sur d’autres sites

il y a 27 minutes, Einsteinium a dit :

S’il y avait eu une faille majeure... j’aurais été le premier à la postée si aucun autre n’avait réagît avant...

Bref un peu de lecture te fera grand bien, cf ma signature pour les tutoriels...

Ps : modification du titre racoleur...

Merci pour la modification du titre, à part pour le plaisir de montrer que vous avez le pouvoir du modo (et la modestie inhérente à votre pseudo), je n'en vois pas l'utilité de ce titre, d'autant plus que je ne suis pas certain que tout le monde soit au courant de cette particularité des NAS synology, je vais tester chez QNAP pour voir si c'est si c'est si évident que vous semblez le penser.

Pour les liens, merci, je pense connaitre à peu près correctement les appareils et leur utilisation bien que l'on en sache jamais trop.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.