2018 commence mal pour Western Digital : certaines solutions de stockage de la gamme My Cloud sont concernées par une faille de sécurité, une backdoor pourtant repérée il y a déjà 6 mois.

[MAJ] Dans un communiqué officiel consultable ici, Western Digital indique avoir corrigé les failles décrites dans l'article initial dès le 16 novembre 2017 au cours de la mise à jour du firmware des produits concernés vers la version 2.30.172 (Soit 5 mois après le partage des informations à la marque). Il est donc plus que jamais urgent de procéder à la mise à jour de vos appareils.

Western Digital commence difficilement l'année 2018 : le chercheur en sécurité James Bercegay a publié les détails d'une faille présente sur certains disques durs de la gamme My Cloud. Une faille qui se présente comme une porte dérobée codée en dur dans l'OS et qui avait été découverte il y a déjà plus de 6 mois.

Le chercheur avait contacté Western Digital concernant la faille, qui plus est assez simple à exploiter puisque n'importe qui peut ainsi s'identifier sur les disques de la marque connectés à Internet ou sur un réseau local avec l'identifiant "mydlinkBRionyg" et le mot de passe "abc12345cba". Depuis mi-2017 (le 12 juin), Western Digital n'a opéré aucun correctif permettant de sécuriser les données de ses clients, ce qui entraine donc la publication de la faille.

Désormais, Western Digital s'expose à un bad buzz et à des actions en justice pour ne pas avoir agi à temps. Suite à la publication des informations permettant d'exploiter la faille, Western Digital devrait publier un correctif dans l'urgence. Les produits concernés de la marque sont les suivants : My Cloud Gen 2, My Cloud EX2, EX2 Ultra, My Cloud PR2100 / 4100, My Cloud EX4, EX2100, EX4100, My Cloud DL2100 et DL4100.

En attente d'un correctif, autant dire qu'il vaudra mieux débrancher ces solutions de stockage des accès à Internet et les utiliser avec précaution.