Grosse faille de sécurité sur les NAS QNAP : Rançongiciel (ransomware) comme conséquence, Réactions à la publication du 22/04/2021

[trouspinette]

Une grosse faille de sécurité est active chez QNAP (NAS réseau) et lourde de conséquences : chiffrement des données via un ransomware, nommé Qlocker.

Les données sont ensuite vues en tant qu'archives 7z (avec mot de passe), et une inévitable demande de rançon est associée :

"!!! All your files have been encrypted !!!

All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.

"To purchase your key and decrypt your files, please follow these steps:

1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".

2. Visit the following pages with the Tor Browser:

*********************************.onion

3. Enter your Client Key:

********************************************************************************
**********************"

Les NAS affectés sont ceux qui sont accessibles via Internet directement (via un NAT derrière un firewall ou - pire - directement) : si votre NAS n'est pas exposé via cette méthode, les risques ne sont pas exploitables à distance (a priori ! … sauf si l'attaquant est à l'intérieur).

Les failles en question :

Sont corrigées par QNAP, mais il est impératif de passer les derniers correctifs du système (QTS et QuTS hero) et les paquets associés proposés en mise à jour + lancer une analyse via Malware Remover.

Seule une sauvegarde des données permet - à ce jour - de retrouver les contenus.

Expérience vécue ce jour chez un client : les 3 volumes partagés ont été compromis, mais fort heureusement la sauvegarde Hybrid Backup n'est pas affectée. L'authentification en 2 étapes était activée, mais semble ne pas suffisamment protéger des failles :-(

Pour info & vérifié ce jour, l'antivirus ESET (du moins avec la version Endpoint Advanced Protection) détecte le ransomware (WIN32/Filecoder.Qlocker) et préconise une élimination… mais ne restitue pas les fichiers compromis à leur état initial.

/!\ Une et UNE SEULE façon de se protéger : sauvegarde /!\

Liste des vulnérabilités QNAP :
https://www.qnap.com/en/security-advisories...dvisory_details


Lien vers le billet original

[iAPX]

...
/!\ Une seule et UNE SEULE façon de se protéger : sauvegarde /!\
...

Tout est dit

D'après ce que je comprends QNAP fourni aussi un logiciel "Malware Remover" pour détecter et supprimer le malware de son NAS?
Ça ne rend pas les fichiers, mais là aussi c'est bienvenu!

[STRyk]

Et pour l'archive, où faut-il les copier les données ? sur un autre NAS vérolé ?
Non mais franchement ça frise le ridicule maintenant.
Il ne sers à rien ce QNAP au final...
Et on entends à chaque fois "sauvegarde", ouais m'enfin ce sont les mêmes qui rabache toujours la même chose et qui ne comprennent pas que certaisn utilisateurs ont 15 disques...


Vous me direz, ils achètent bien des jeans neuf troués, pourquoi pas du matériel passoire.

Ce message a été modifié par STRyk - 22 Apr 2021, 23:39.

[trouspinette]

Les NAS affectés sont ceux qui sont accessibles via Internet directement (via un NAT derrière un firewall ou - pire - directement) : si votre NAS n'est pas exposé via cette méthode, les risques ne sont pas exploitables à distance (à priori ! … sauf si l'attaquant est à l'intérieur).

Si UPnP est activé sur la Box/Routeur, c'est aussi une source possible d'ouverture de ports dynamiquement & automatiquement !

[iAPX]

Les NAS affectés sont ceux qui sont accessibles via Internet directement (via un NAT derrière un firewall ou - pire - directement) : si votre NAS n'est pas exposé via cette méthode, les risques ne sont pas exploitables à distance (à priori ! … sauf si l'attaquant est à l'intérieur).

Si UPnP est activé sur la Box/Routeur, c'est aussi une source possible d'ouverture de ports dynamiquement & automatiquement !

Oui, UPnP a un très bel historique, à la fois pour exposer des réseaux locaux depuis le WAN (Internet), mais aussi permettre de reboucler sur Internet avec l'adresse IP du malheureux ayant laissé son UPnP actif (mieux qu'un VPN ça, et tant pis pour l'impétrant en cas d'enquête!).

[godzila]

Cette faille est dans le service DLNA qui n'est pas activé par défaut sur un QNAP (mais elle est bien réelle...)

C’en est une parmi des centaines découvertes quasiment tous les jours, malheureusement. Pensons par exemple au bug (?) récemment découvert dans Exchange qui permettait d’accéder à n’importe quelle boite sans authentification depuis 2010…

J’imagine qu’en l’espèce ça a touché qqn dans l’entourage de Lionel mais c’est, halas, la routine des personnes s’occupant de sécurité informatique

[olrik]

Conclusion la pandémie n'a pas encore atteint ces foutus pirates. Tiens ce matin je vois un de mes sites attaqué en force par un indien je veux dire un pirate situé en Inde, et dans le même temps je lis : INDE 315 000 décès par jour. Comme quoi le covid touche la "plèbe" mais pas les informaticiens biens isolés derrières leur PC qui servent à emmerder les gens. Le pire de se que l'on peux voir en ce moment c'est le blocage de certains hôpitaux avec la paralysie des services de réanimation et une demande de rançon c'est pire que criminel. Des gens sont morts car les appareils étaient bloqués BRAVO.

Alors oui il faut faire des sauvegardes, faire des MAJ de sécurité mais surtout faire la chasse aux pirates et leur faire subir comme du temps des vrais pirates le supplice de la planche.

[trouspinette]

.../... mais surtout faire la chasse aux pirates et leur faire subir comme du temps des vrais pirates le supplice de la planche.

Commençons par interdire les monnaies du type BitCoin ;-) Privé de ressources [obscures], ils devraient se calmer !

Question : les promoteurs de ce type de monnaie feraient-ils partis d'une même entité que ceux qui raçonnnent nos hôpitaux ???

[pipolo]

.../... mais surtout faire la chasse aux pirates et leur faire subir comme du temps des vrais pirates le supplice de la planche.

Commençons par interdire les monnaies du type BitCoin ;-) Privé de ressources [obscures], ils devraient se calmer !

Question : les promoteurs de ce type de monnaie feraient-ils partis d'une même entité que ceux qui raçonnnent nos hôpitaux ???

Raccourci qui me paraît un peu rapide, tant la cybercriminalité (ou la criminalité tout court) n’a pas attendu les crypto monnaies pour prospérer...

Pour en revenir au sujet, voilà pourquoi je ne peux m’empêcher de sourire lorsque j’entends ou lis ça et là un interlocuteur content d’héberger "son propre cloud" sur un NAS

[Touch78]

Conclusion la pandémie n'a pas encore atteint ces foutus pirates. Tiens ce matin je vois un de mes sites attaqué en force par un indien je veux dire un pirate situé en Inde, et dans le même temps je lis : INDE 315 000 décès par jour

315 000 nouveaux cas...

en plus ça doit être largement sous-estimé.

[stephn666]

Bonjour,

Autant quand j'entends parler de faire des sauvegardes de son ordinateur / smartphone j'acquiesce, mais dire de sauvegarder ce qu'il y a sur un NAS, qui lui sert normalement à faire des sauvegardes...

Ce message a été modifié par stephn666 - 23 Apr 2021, 09:56.

[Cubytus64]

Je ne vois pas en quoi déménager ses données dans le "cloud" va y changer quoi que ce soit. Ah oui, quand on fait affaire avec des entreprises dont c'est le métier, on perd rien, c'est bien connu. Puis c'est tellement moins cher! Tellement plus privé! Combien, pour stocker 24TiB de données dans le cloud? Et combien de siècles d'upload?

Trève de blague, j'ai du Synology, mais ça pourrait toucher les autres marques aussi. Se protéger comment? Verrouiller tout accès au NAS venant de l'extérieur? Ça ne marche pas tout le temps, j'ai besoin d'un accès WebDAV pour Zotero, et il doit être ouvert sur l'extérieur. Puis au prix que coûte un NAS prêt à tourner, sans compter le bruit, ça calme.

[Sethy]

Ca peut paraître "con" mais sur mes ressources backups (snapshots, backups, ...), je m'arrange toujours pour être à moins de 50% d'usage.

Car je me dis que si un jour, 100% de mes données sont modifiées par un malware, il faudra bien avoir 100% d'espace en plus pour éviter que les "bonnes" données soient effacées par les "vérolées" !

Trève de blague, j'ai du Synology, mais ça pourrait toucher les autres marques aussi. Se protéger comment? Verrouiller tout accès au NAS venant de l'extérieur? Ça ne marche pas tout le temps, j'ai besoin d'un accès WebDAV pour Zotero, et il doit être ouvert sur l'extérieur. Puis au prix que coûte un NAS prêt à tourner, sans compter le bruit, ça calme.

Peut-être acheter un tout petit NAS et en faire le point d'entrée pour le trafic extérieur ? C'est ce que vers quoi je vais tendre.

[pipolo]

Bonjour,

Autant quand j'entends parler de faire des sauvegardes de son ordinateur / smartphone j'acquiesce, mais dire de sauvegarder ce qu'il y a sur un NAS, qui lui sert normalement à faire des sauvegardes...

Ça dépend des cas d'usage, on peut vouloir dupliquer un NAS qui ne contient que des sauvegardes sur un autre site par exemple.

Je ne vois pas en quoi déménager ses données dans le "cloud" va y changer quoi que ce soit. Ah oui, quand on fait affaire avec des entreprises dont c'est le métier, on perd rien, c'est bien connu. Puis c'est tellement moins cher! Tellement plus privé! Combien, pour stocker 24TiB de données dans le cloud? Et combien de siècles d'upload?

L'avantage des poids lourds du cloud c'est justement le suivi en termes de sécurité, c'est un point sur lequel il sont difficilement mis en défaut tellement les enjeux sont énormes pour eux. Mais nous sommes d'accord, ça ne réponds pas à tous les besoins.

Trève de blague, j'ai du Synology, mais ça pourrait toucher les autres marques aussi. Se protéger comment? Verrouiller tout accès au NAS venant de l'extérieur? Ça ne marche pas tout le temps, j'ai besoin d'un accès WebDAV pour Zotero, et il doit être ouvert sur l'extérieur. Puis au prix que coûte un NAS prêt à tourner, sans compter le bruit, ça calme.

Je ne connais pas Zotero, mais la bonne pratique consiste à configurer un VPN et de n'ouvrir que les ports dédiés à celui-ci afin de réduire la surface d'exposition.

[baron]

Autant quand j'entends parler de faire des sauvegardes de son ordinateur / smartphone j'acquiesce, mais dire de sauvegarder ce qu'il y a sur un NAS, qui lui sert normalement à faire des sauvegardes...

Une bonne sauvegarde est dédoublée, ou mieux même en trois exemplaires, sur des supports différents et pour bien faire au moins une délocalisée.

QNAP prévoit des outils pour cela, qui en l'occurrence semblent avoir bien rempli leur office.
• https://www.qnap.com/fr-fr/software/hybrid-backup-sync

[trouspinette]

Raccourci qui me paraît un peu rapide, tant la cybercriminalité (ou la criminalité tout court) n’a pas attendu les crypto monnaies pour prospérer...

J'acquiesce, c'est un raccourci, mais peut être qu'en tarissant cette source, on limiterait la casse ? Si on les prive de moyens de revenus ?

Pablo Escobar ramassait des caisses de $, sans Internet ;-)

[Papalou]

Bonjour,

Autant quand j'entends parler de faire des sauvegardes de son ordinateur / smartphone j'acquiesce, mais dire de sauvegarder ce qu'il y a sur un NAS, qui lui sert normalement à faire des sauvegardes...

Pas forcément, ça peut aussi être un espace de travail partagé, d'autant que ces modules incluent désormais des fonctions de SAN, et du 10GbE, voire du 40GbE.

Je ne vois pas en quoi déménager ses données dans le "cloud" va y changer quoi que ce soit. Ah oui, quand on fait affaire avec des entreprises dont c'est le métier, on perd rien, c'est bien connu. Puis c'est tellement moins cher! Tellement plus privé! Combien, pour stocker 24TiB de données dans le cloud? Et combien de siècles d'upload?

Trève de blague, j'ai du Synology, mais ça pourrait toucher les autres marques aussi. Se protéger comment? Verrouiller tout accès au NAS venant de l'extérieur? Ça ne marche pas tout le temps, j'ai besoin d'un accès WebDAV pour Zotero, et il doit être ouvert sur l'extérieur. Puis au prix que coûte un NAS prêt à tourner, sans compter le bruit, ça calme.

Pour le temps d'upload, tu as maintenant des prestataires qui proposent de la liaison 10GbE vers centre de donnée. Cela a évidemment un coût, mais pour qui c'est indispensable, normalement le modèle économique le permet.
Et pour le prix des NAS, je te laisse regarder les tarifs pour du SAN multi-client en 56GbE, tu peux multiplier au moins par 10, donc c'est très relatif...

[godzila]

.../... mais surtout faire la chasse aux pirates et leur faire subir comme du temps des vrais pirates le supplice de la planche.

Commençons par interdire les monnaies du type BitCoin ;-) Privé de ressources [obscures], ils devraient se calmer !

Question : les promoteurs de ce type de monnaie feraient-ils partis d'une même entité que ceux qui raçonnnent nos hôpitaux ???

Le Bitcoin a l'énorme avantage d'être totalement traçable et public. De nombreuses sociétés font métier de “forensic” en la matière et les criminels se rendent compte que ce n’est peut être pas un si bon moyen que ça pour se faire payer, ce qui se confirme dans la forte baisse de la composante “illégale” dans les transactions ces deniers temps.

https://www.cnbc.com/2021/01/24/overall-bit...is-booming.html

Celà dit. comme tout type de moyen de payement et de stockage de valeur, il y a bien sûr une composante obscure. Interdire les crytos au motif de leur utilisation dans les ransomware est une parfaite idiotie.

Tiens ce matin je vois un de mes sites attaqué en force par un indien je veux dire un pirate situé en Inde, et dans le même temps je lis

Comme sais-tu qu'il est en Inde ?

L'attribution est un des choses les plus délicates dans les cyberataques...

[marcmame]

Tiens ce matin je vois un de mes sites attaqué en force par un indien je veux dire un pirate situé en Inde

En fait il serait plus juste de dire : "par une machine située en Inde" car le propriétaire de la dite machine n'en a probablement même pas conscience.

[jeanjd63]

Super les NAS....sauf quand tu te retrouves pris dans la nasse, c'est la poisse....

[linus]

Conclusion la pandémie n'a pas encore atteint ces foutus pirates. Tiens ce matin je vois un de mes sites attaqué en force par un indien je veux dire un pirate situé en Inde, et dans le même temps je lis : INDE 315 000 décès par jour

315 000 nouveaux cas...
en plus ça doit être largement sous-estimé.

J'avoue ne pas comprendre pourquoi les journaliste donnent toujours le nombre de morts sans le rapporter à la population et pourquoi tout le mode répète cela.
A ce compte là si on annonçait que le Lichtenstein a 300 morts par jour, cela n'impressionnait pas du tout alors que ce serait 1 mort sur 100 par jour !!!!

[Cubytus64]

il faudra bien avoir 100% d'espace en plus pour éviter que les "bonnes" données soient effacées par les "vérolées" !

À ce que j'ai compris, non, les fichiers sont encryptés un à un, dans ce cas l'espace nécessaire n'est que celui du plus gros de ces fichiers. Beaucoup plus efficace, imagine le temps de lecture d'un disque rotatif, s'il fallait lire et réécrire d'un coup 2TiB de données (une quantité minuscule aux standards actuels)

Peut-être acheter un tout petit NAS et en faire le point d'entrée pour le trafic extérieur ? C'est ce que vers quoi je vais tendre.

Peut-être, un NAS assez sûr pour rester connecter à l'extérieur (WebDAV), assez puissant pour faire fonctionner un firewall potable et surtout, requérant le minimum d'intervention? Un routeur plus costaud pourrait-il assumer ces tâches? Mais quel modèle?

Bonjour,

Autant quand j'entends parler de faire des sauvegardes de son ordinateur / smartphone j'acquiesce, mais dire de sauvegarder ce qu'il y a sur un NAS, qui lui sert normalement à faire des sauvegardes...

Ça dépend des cas d'usage, on peut vouloir dupliquer un NAS qui ne contient que des sauvegardes sur un autre site par exemple.

C'est un peu l'ironie de la chose: "on" nous bassine (avec raison) sur la nécessité absolue de faire ses sauvegardes, de les rendre plus robustes en les dédoublant encore ailleurs, alors nous avions, il y a une vingtaine d'années, acheté des piles de CD-R, puis de DVD-R, qui se sont avérés illisibles avec le temps, puis balancé tout ça en achetant des disques durs externes, qui eux aussi sont fragiles, puis sommes rendu compte que ce n'est pas bien pratique d'avoir un disque externe par ordinateur, nous avons voulu centraliser ça dans des NAS, qu'il faudrait maintenant eux aussi sauvegarder… On s'en sort pas

L'avantage des poids lourds du cloud c'est justement le suivi en termes de sécurité, c'est un point sur lequel il sont difficilement mis en défaut tellement les enjeux sont énormes pour eux. (…)

Ah? Me semblait que les derniers vols de données chez Equifax notamment s'étaient produits à cause de serveurs Amazon mal sécurisés. Les dernières failles chez Microsoft, dans Oultook? Ce n'est pas à proprement parler du stockage, mais associer gros nom=sécurité car enjeux très importants, bof. Je suis plus cynique: au contraire, puisque ces gros noms sont incontournables, souvent en situation de quasi-monopole, même s'ils sont négligents, les clients ne partiront pas.

Je ne connais pas Zotero, mais la bonne pratique consiste à configurer un VPN et de n'ouvrir que les ports dédiés à celui-ci afin de réduire la surface d'exposition.

Je veux bien pour le VPN, mais imagine la puissance nécessaire: ce n'est pas tous les NAS ou routeurs qui peuvent faire tourner ça confortablement en même temps que les services côté LAN (NFS, SMB, AFP) et les services côté Internet (VPN, WebDAV, FTP). Une partie de solution, comme évoqué avant: deux appareils. Là encore, c'est la course à l'armement. J'ai configuré mon routeur, comme tout le monde, en désactivant UPnP et en n'ouvrant que les ports nécessaires, mais là aussi, quand on a plusieurs serveurs (au sens logiciel), on passe son temps "les mains dans le cambouis". Vu les contraintes de temps, la course aux raccourcis (risqués) ne m'étonne pas du tout: UPnP, WPS sont de ceux-là. Pendant ce temps, le boulot n'est pas fait.

Sans compter le côté assez malcommode merci d'établir une connexion en déplacement: 1- Accrocher le Wifi 2- Authentifier le VPN 3- se demander pourquoi le serveur VPN répond pas 4- se dire qu'on aurait dû dépenser encore des bidous pour un NAS plus puissant 5- Ah tiens enfin ça répond 6- Allumer Zotero, le laisser faire sa synchro, commencer à bosser 7- Au bout de 12 minutes, le wifi te lâche 8- Te demander si c'est ta config qui merde, ou l'AP lui-même, ou le serveur RADIUS. Dans le doute, recommencer à l'étape 1. Sinon, débrancher le VPN une fois synchronisé, car une connexion maison en upload ne fournira pas. Pendant ce temps, le boulot n'est pas fait.

Pour le temps d'upload, tu as maintenant des prestataires qui proposent de la liaison 10GbE vers centre de donnée. Cela a évidemment un coût, mais pour qui c'est indispensable, normalement le modèle économique le permet.
Et pour le prix des NAS, je te laisse regarder les tarifs pour du SAN multi-client en 56GbE, tu peux multiplier au moins par 10, donc c'est très relatif...

Je ne crois pas qu'on parle de la même gamme de NAS. Il y a les modèles pour les entreprises, qui elles ont les moyens de sécuriser leurs sauvegardes ou à défaut, de les répliquer, et les modèles pour les particuliers, configurés par des gens dont ce n'est pas le métier mais qui ont bien vu l'avantage évident de centraliser certains services et tâches entre tous leurs appareils.

[iAPX]

...
Sans compter le côté assez malcommode merci d'établir une connexion en déplacement: 1- Accrocher le Wifi 2- Authentifier le VPN 3- se demander pourquoi le serveur VPN répond pas 4- se dire qu'on aurait dû dépenser encore des bidous pour un NAS plus puissant 5- Ah tiens enfin ça répond 6- Allumer Zotero, le laisser faire sa synchro, commencer à bosser 7- Au bout de 12 minutes, le wifi te lâche 8- Te demander si c'est ta config qui merde, ou l'AP lui-même, ou le serveur RADIUS. Dans le doute, recommencer à l'étape 1. Sinon, débrancher le VPN une fois synchronisé, car une connexion maison en upload ne fournira pas. Pendant ce temps, le boulot n'est pas fait.
...

Essaye WireGuard, notamment sur un Raspberry Pi (pivpn, pi hole conseillé en bonus) mais aussi quand intégré dans n'importe quel autre appliance.

Pas de point 1. Pas de point 3. Pas de point 4. Pas de point 7, Pas de point 8. etc.
Et pour le dernier point, si on désire être exposé à Internet pour les autres communications (sans repasser par son VPN qui peut intégrer des sécurité coté DNS et Firewall), on fait des routes, mais moi je repasse toujours par mon VPN pour la protection de ma vie privée et plein d'autres choses...

Ce message a été modifié par iAPX - 24 Apr 2021, 00:41.

[Rorqual]

Interdire les crytos au motif de leur utilisation dans les ransomware est une parfaite idiotie.

Il vaut mieux interdire pour :
- aggravation de la pénurie actuelle de composants électroniques
- et pire, la consommation électrique démentielle : le minage consomme l'équivalent de la conso totale d'un pays de taille moyenne comme la République tchèque, et bientôt à ce rythme de progression il est prévu que ça atteigne celle de pays plus grands comme l'Italie. Et le bilan carbone associé, n'en parlons même pas, surtout que le gros des mineurs est en Chine qui produit l'électricité au charbon.

Ce message a été modifié par Rorqual - 24 Apr 2021, 09:05.

[stephn666]

Bonjour,

Merci pour toutes les réponses à mon messages, je suis évidemment d'accord qu'on a jamais assez de sauvegarde, mais l'intérêt premier d'un NAS ou avant un serveur de fichiers, c'était d'avoir accès à des données, elles même sécurisées par un mode RAID, en entreprise logiquement ou peut imaginer un 2e serveur à un autre endroit, ce qui n'est malheureusement pas le cas d'un particulier et les risques de piratages me semble la moins pire des situations, je pense surtout à un incendie vécu par un ami, ça ne pardonne pas, EDIT, j'imagine que ça deja été dit en long en large.

Ce message a été modifié par stephn666 - 24 Apr 2021, 13:56.

[Sethy]

Bonjour,

Merci pour toutes les réponses à mon messages, je suis évidemment d'accord qu'on a jamais assez de sauvegarde, mais l'intérêt premier d'un NAS ou avant un serveur de fichiers, c'était d'avoir accès à des données, elles même sécurisées par un mode RAID, en entreprise logiquement ou peut imaginer un 2e serveur à un autre endroit, ce qui n'est malheureusement pas le cas d'un particulier et les risques de piratages me semble la moins pire des situations, je pense surtout à un incendie vécu par un ami, ça ne pardonne pas, EDIT, j'imagine que ça deja été dit en long en large.

Un RIAD ne sécurise rien du tout. Au contraire même, dans la mesure où il y a plus d'écritures et de lectures que sur un stockage sans RAID, l'occurrence d'une panne est même plus fréquente !

Mais ce sont les conséquences d'un incident qui sont moindre puisque pendant que le RAID se répare (à condition bien sûr d'avoir un disque de réserve, idéalement installé dans une baie inutilisée du serveur), les données peuvent toujours être consultée et le passage par la case "restauration" du backup est évité !

[iAPX]

...
Un RIAD ne sécurise rien du tout. (sic)
...

Dépends, faudrait que tu en parles à Frédéric Mitterand ou Jack Lang, entre autres...

Et ils confirmeront qu'avoir un groupe d'unités très peu chères permet d'assurer un excellent service, voir performant.
Mais aussi que ça vieillit mal, et qu'il faut remplacer celles-ci préventivement avant qu'elles deviennent trop âgées.

Ce message a été modifié par iAPX - 24 Apr 2021, 23:31.

[el fifito]

Un RIAD ne sécurise rien du tout. Au contraire même, dans la mesure où il y a plus d'écritures et de lectures que sur un stockage sans RAID, l'occurrence d'une panne est même plus fréquente !

Un Raid permet uniquement d'avoir une continuité d'accès aux données en cas de défaillance d'un ou plusieurs disques. En cas d'erreur d'écriture ou de malware sur un disque, elle est aussitôt dupliquée sur les autres disques. La sauvegarde est une copie des données qui ne sert qu'à la restauration des données en cas de problème. Autrefois on sauvegardait sur bandes le contenu du serveur raid, il ne pouvait donc y avoir confusion de la part de l'utilisateur entre serveur de fichiers et sa sauvegarde auquel il n'avait pas accès.

Sinon sauvegardes multiples sur plusieurs disques (ou raid) indépendants, délocalisées physiquement. Et au moins une sauvegarde lancée manuellement en s'assurant que le volume à sauvegarder n'est pas vérolé ou crypté. Nous avons eu un client artisan qui avait une sauvegarde journalière automatisée : suite à un malware, il a bel et bien hérité d'une sauvegarde de données entièrement cryptée...

...
Un RIAD ne sécurise rien du tout. (sic)
...

Dépends, faudrait que tu en parles à Frédéric Mitterand ou Jack Lang, entre autres...

Et ils confirmeront qu'avoir un groupe d'unités très peu chères permet d'assurer un excellent service, voir performant.
Mais aussi que ça vieillit mal, et qu'il faut remplacer celles-ci préventivement avant qu'elles deviennent trop âgées.

Ce message a été modifié par el fifito - 25 Apr 2021, 07:26.

[Sethy]

Sinon sauvegardes multiples sur plusieurs disques (ou raid) indépendants, délocalisées physiquement. Et au moins une sauvegarde lancée manuellement en s'assurant que le volume à sauvegarder n'est pas vérolé ou crypté. Nous avons eu un client artisan qui avait une sauvegarde journalière automatisée : suite à un malware, il a bel et bien hérité d'une sauvegarde de données entièrement cryptée...

Nous utilisions une rotation sur 10 bandes, 1 pour les 4 premiers jours de la semaine, les 6 autres pour 6 vendredis, ce qui nous donnait des sauvegardes sur 1,5 mois environ. Je vois dès lors cela très difficilement réalisable avec des disques durs. Il en faudrait combien ? A quel prix ? Avec quelle logique de backup ?

Ce que je préconise, c'est une autre approche qui s'inspire de l'esprit "backup sur bande".

Si, comme tu l'expliques, le malware a pu encrypter les sauvegardes, c'est forcément que le malware avait accès en écriture.

Donc soit, c'était le NAS qui était vérolé (on y reviendra), soit le PC/Mac.

Evidemment si le PC/Mac est vérolé et que le disque est connecté ... le malware va encrypter le disque externe ou réseau, c'est pareil. Pourquoi ? Parce que l'utilisateur dispose des droits d'écriture et donc le malware également. Et comme il encrypte tout le disque, les anciennes sauvegardes le sont également ! Il faut donc au minimum 2 disques, parce que les ransomware sont malins, ils encryptent en silence. Ce n'est que lorsque tout est encrypter qu'ils balancent l'alerte.

Ce qu'il faut faire, c'est s'inspirer de l'esprit de la sauvegarde sur bande, c'est à dire d'avoir l'impossibilité pour l'utilisateur d'accéder à la sauvegarde. Mais pour cela, il faut que l'utilisateur n'ait pas accès en écriture au lieu de la sauvegarde.

Il existe des solutions avec un NAS. C'est d'utiliser les outils fournis. Avec un Synology, il s'agit d'Active Backup for Business, qui via l'installation d'un client sur le PC cible, va backuper tout le PC et le sauvegarder sur un répertoire auquel l'utilisateur ne doit surtout pas avoir accès. En cas de souci, c'est via le même outil que les restaurations sont faites (toujours sans donner les droits d'accès à l'utilisateur !).

Pour protéger le NAS, qui peut lui aussi être infecté par un NAS-malware, c'est plus compliqué. Evidemment s'il héberge les données du PC/Mac, là, en principe il n'y a pas de problème. Pourquoi ? Parce que la probabilité que le NAS soit infecté par un NAS-malware et qu'en même temps le PC/Mac le soit par un autre malware est tellement infime, que c'est un risque qu'on doit accepter. Les risques d'orages, de surtension dans la ligne, etc. sont plus probable que l'éventualité d'une double infection distincte.

La solution, à nouveau, c'est de mettre une barrière "logique" entre le NAS et l'endroit de la sauvegarde.

[iAPX]

C'est à l'inverse que la sauvegarde doit être faite: le système la stockant doit accéder intégralement au stockage de la ou les machines étant sauvegardées.

Les façons de faire actuelles sont plus pratiques, ce qui sur le long-terme assure la victoire, mais bien moins sécurisées.