Name: Tremplin Numérique
Price range: $$$

Mon livre de Western Digital — Numérique occidental

Vous n’allez pas le croire. Western Digital confirme maintenant qu’il a désactivé le code d’authentification qui aurait dû empêcher l’exploit de réinitialisation d’usine My Book Live de la semaine dernière. Pire encore, ce code a été désactivé en 2011 dans l’intention de le remplacer par quelque chose de mieux : Western Digital a simplement oublié de coller le nouveau code.

Revenons un peu en arrière. La semaine dernière, les utilisateurs de My Book Live ont découvert que leurs disques de stockage connectés à Internet avaient perdu toutes leurs données. Une réinitialisation d’usine, déclenchée à distance, a causé cette perte de données.

Des analyses effectuées par des experts en sécurité ont depuis montré que les pirates informatiques exploitaient simultanément deux vulnérabilités distinctes de My Book Live ; un exploit (appelé CVE-2018-18472) a laissé les disques ouverts pour un contrôle à distance total et a été utilisé pour créer un botnet, tandis qu’un autre exploit a permis aux pirates d’exécuter des réinitialisations d’usine à distance sans avoir besoin d’informations d’identification de connexion.

Ces experts en sécurité ont découvert que Western Digital avait intentionnellement désactivé le code d’authentification de réinitialisation d’usine, ce qui aurait forcé les pirates à saisir les informations de connexion pour chaque appareil My Book Live qu’ils tentaient de formater. Un nouveau message d’assistance de Western Digital confirme que ce code a été désactivé en 2011 dans le cadre d’un refactoring, essentiellement une mise à niveau à grande échelle du code sous-jacent. Bien que ce refactor ait été correctement effectué dans d’autres parties du système My Book Live, il n’a pas réussi à remplacer le code d’authentification de réinitialisation d’usine.

Nous avons déterminé que la vulnérabilité de réinitialisation d’usine non authentifiée a été introduite dans le My Book Live en avril 2011 dans le cadre d’un refactoring de la logique d’authentification dans le micrologiciel de l’appareil. Le refactor a centralisé la logique d’authentification dans un seul fichier, qui est présent sur l’appareil en tant que include/component_config.php et contient le type d’authentification requis par chaque point de terminaison. Dans ce refactoring, la logique d’authentification dans system_factory_restore.php a été correctement désactivée, mais le type d’authentification approprié ADMIN_AUTH_LAN_ALL n’a pas été ajouté à component_config.php, ce qui a entraîné la vulnérabilité. Le même refactor a supprimé la logique d’authentification des autres fichiers et a correctement ajouté le type d’authentification approprié au fichier component_config.php.

Western Digital poursuit en clarifiant quelques détails de cette attaque. Alors que les analystes de sécurité suggèrent qu’un pirate informatique a exploité la vulnérabilité de réinitialisation d’usine pour saboter le botnet en pleine croissance My Book Live (qui a été activé par l’exploit de « contrôle à distance » distinct CVE-2018-18472), Western Digital affirme que les deux attaques ont souvent été exécutées à partir d’un adresse IP unique. Cela suggère qu’un pirate informatique a profité des deux vulnérabilités, pour une raison quelconque.

Tout au long de tout ce gâchis, de nombreuses personnes ont reproché aux utilisateurs de My Book Live de se laisser attaquer. Après tout, les appareils My Book Live n’ont pas été mis à jour depuis 2015, donc, bien sûr, ils ne sont pas sûrs ! Mais en réalité, les lecteurs My Book Live étaient vulnérables à la réinitialisation d’usine et CVE-2018-18472 exploite le « contrôle à distance » bien avant que Western Digital ne mette fin au support logiciel.

Western Digital dit qu’il offrira des services gratuits de récupération de données et un appareil My Cloud gratuit aux propriétaires de My Book Live à partir de juillet. Si vous utilisez toujours un appareil My Book Live, veuillez le débrancher et ne plus jamais l’utiliser.

Source : Western Digital