Une faille d’injection de commande notée CVSS 9,8 cible toujours des milliers de boîtiers de stockage D-Link exposés sur Internet. Les modèles en fin de vie restent sans correctif, ouvrant la voie à une prise de contrôle totale des données.
Vulnérabilité critique sur les NAS D-Link : modèles touchés et impact
Le chercheur Netsecfish a démontré qu’un attaquant non authentifié peut exécuter du code à distance sur les NAS DNS-320L, DNS-325, DNS-327L et DNS-340L. Environ 92 000 unités restent en ligne malgré l’annonce d’obsolescence. Les cybercriminels intègrent déjà l’exploit dans des botnets de type Mirai.
- ⚠️ Accès root sans mot de passe
- 🔄 Propagation de ransomware sur le stockage réseau
- 📡 Rebond vers d’autres machines internes
Pourquoi ces boîtiers de stockage restent exposés ?
D-Link a stoppé le support logiciel en 2020 ; aucun nouveau firmware n’est prévu. Beaucoup d’entreprises ignorent encore que leur NAS est visible dans Shodan. Les pirates, eux, scannent en continu ces références.
- ⏰ Mise à jour impossible pour les modèles EoL
- 🌍 Port 80 ouvert par défaut
- 🔑 Mots de passe d’usine jamais changés
Un moteur de recherche rapide sur 2025 montre que la moitié des adresses IP concernées se situent toujours en Europe.
Le stockage réseau, maillon faible de la cybersécurité en 2025
Une étude Continuity Software, réalisée sur 400 baies, indique en moyenne 6 300 failles distinctes par appareil. Les ordinateurs et les routeurs sont mieux protégés que le stockage. Les attaques ciblent la sauvegarde car c’est la dernière ligne de défense.
- 📊 15 vulnérabilités majeures identifiées
- 🚨 3 classées critiques par Continuity
- 🔍 170 principes de sécurité ignorés
Protocoles obsolètes et droits d’accès laxistes
Les versions antiques de SMB 1, NFS 3 ou TLS 1.0 restent activées. Les listes de contrôle d’accès contiennent souvent un “Everyone : Full Control”. Ces deux points suffisent à contourner isolations et snapshots.
- 📁 SMB 1 encore actif : attaque de relay facile 😱
- 🔐 Comptes admin partagés entre collègues
- 📝 Journalisation insuffisante des accès
Bonnes pratiques immédiates pour sécuriser un NAS D-Link
Même sans correctif, quelques gestes limitent le risque. Les RSSI peuvent isoler le trafic NAS et renforcer l’authentification. Un plan de migration vers du matériel maintenu reste toutefois la seule parade durable.
- 🛑 Bloquer l’exposition WAN sur le boîtier de stockage
- 🔒 Mettre en place un reverse proxy avec MFA
- 🗄️ Sauvegarder hors ligne, vérifier la restauration
- 🐢 Segmenter le VLAN “stockage” loin du LAN utilisateur
- ♻️ Prévoir le remplacement vers un modèle supporté
Norme NIST IR 8517 : penser sécurité matérielle dès la conception
Le NIST recense désormais 98 scénarios d’échec matériel, dont les problèmes de mémoire et stockage. Les piliers “Contrôle d’accès inapproprié” et “Flux de sécurité” couvrent les dérives observées sur les NAS. S’appuyer sur ce cadre aide à prioriser correctifs et audits.
- 📚 Alignement sur le référentiel CWE pour parler un langage commun
- 🛠️ Détection précoce : moins coûteux qu’un patch d’urgence
- 📦 Sécurité chaîne d’approvisionnement mise en avant
- Intel Nova Lake : Introduction d’un système d’ancrage 2L-ILM novateur pour optimiser le refroidissement des processeurs - avril 9, 2026
- Ces 5 innovations technologiques qui vont révolutionner vos loisirs - avril 8, 2026
- CORSAIR présente les boîtiers FRAME 4000X RS et 4000D WOOD RS : une alliance parfaite de modularité, ventilation optimale et design raffiné - avril 8, 2026