Récemment, plusieurs utilisateurs de systèmes NAS Synology ont été confrontés à une situation alarmante : l’ensemble de leurs fichiers stockés se sont retrouvés cryptés. Malheureusement, cette situation résulte d’une infection par des rançongiciels (ransomware), qui réclament une somme d’argent pour permettre le déchiffrement et la récupération des données. Il est donc crucial d’adopter des mesures de sécurité pour votre NAS afin d’éviter ce genre de mésaventure.
Comment se prémunir contre les attaques de rançongiciels
Synology a lancé un avertissement concernant une recrudescence d’attaques par rançongiciels ciblant ses utilisateurs. Les pirates informatiques exploitent des techniques dites de « force brute », consistant à tester un grand nombre de mots de passe jusqu’à trouver le bon, en ciblant notamment les mots de passe par défaut. Une fois l’accès obtenu, ils procèdent au cryptage des fichiers et exigent une rançon pour leur restitution.
Plusieurs solutions existent pour contrer ces menaces. La désactivation complète de l’accès à distance, en privilégiant les connexions locales, est une première option. Si l’accès à distance est nécessaire, la mise en place d’un VPN permet de restreindre l’accès à votre NAS. En dernier recours, si le VPN n’est pas envisageable (par exemple à cause de la lenteur du réseau), il est impératif de renforcer les paramètres de sécurité de votre accès à distance.
Option 1 : Désactiver l’accès à distance
La méthode la plus sûre consiste à désactiver complètement l’accès à distance à votre NAS. Si votre appareil n’est pas accessible depuis l’extérieur, les pirates ne pourront pas s’y introduire. Certes, vous perdrez en commodité pour les accès hors de chez vous, mais si vous utilisez principalement votre NAS à domicile, vous ne ressentirez peut-être pas cette perte.
Les NAS Synology récents intègrent la fonctionnalité QuickConnect, qui simplifie l’activation de l’accès à distance sans nécessiter de configuration complexe du routeur.
Pour désactiver QuickConnect, connectez-vous à l’interface de votre NAS. Allez dans le Panneau de configuration et cliquez sur « QuickConnect » dans la section « Connectivité ». Décochez « Activer QuickConnect » puis cliquez sur « Appliquer ».
Si vous avez configuré la redirection de port sur votre routeur pour l’accès à distance, il est impératif de désactiver cette règle. Pour cela, connectez-vous à l’interface de gestion de votre routeur via son adresse IP.
Consultez le manuel de votre routeur pour trouver la page de redirection de port. Si vous ne l’avez pas, une recherche en ligne avec le modèle de votre routeur et le mot-clé « manuel » peut vous aider. Une fois la page trouvée, désactivez toutes les règles de redirection de port concernant votre NAS.
Option 2 : Utiliser un VPN pour l’accès à distance
Il est généralement déconseillé d’exposer directement votre NAS Synology à Internet. Cependant, si un accès à distance est indispensable, il est vivement conseillé de mettre en place un réseau privé virtuel (VPN). Le VPN permet d’établir une connexion sécurisée avec votre routeur, qui vous identifiera comme faisant partie de votre réseau local.
Vous pouvez installer un serveur VPN sur votre NAS via le Centre de paquets. Recherchez simplement « vpn » et choisissez l’option « VPN Server ». Lors du premier démarrage, vous devrez choisir un protocole parmi PPTP, L2TP/IPSec et OpenVPN. Il est recommandé d’utiliser OpenVPN, car c’est le protocole le plus sûr.
Vous pouvez conserver les paramètres par défaut d’OpenVPN. Si vous souhaitez accéder à d’autres appareils de votre réseau local via le VPN, cochez l’option « Autoriser les clients à accéder au réseau local du serveur », puis cliquez sur « Appliquer ».
Vous devrez ensuite configurer la redirection de port sur votre routeur vers le port utilisé par OpenVPN (par défaut, le port 1194).
Pour vous connecter via OpenVPN, un client VPN compatible est nécessaire. OpenVPN Connect est recommandé, disponible pour Windows, macOS, iOS, Android, et même Linux.
Option 3 : Sécuriser au maximum l’accès à distance
Si l’accès à distance est indispensable et que le VPN n’est pas une solution viable (en raison par exemple de la lenteur de votre connexion internet), il est crucial de renforcer au maximum les mesures de sécurité.
Pour cela, connectez-vous à votre NAS, ouvrez le Panneau de configuration, et sélectionnez « Utilisateurs ». Si le compte administrateur par défaut est activé, créez un nouveau compte administrateur (si vous n’en avez pas déjà un) et désactivez le compte administrateur par défaut. Ce compte est souvent la première cible des rançongiciels. Le compte « invité » est généralement désactivé par défaut, et vous devez le maintenir ainsi sauf besoin spécifique.
Assurez-vous que tous les comptes utilisateurs de votre NAS disposent de mots de passe robustes. L’utilisation d’un gestionnaire de mots de passe est conseillée. Si vous partagez votre NAS et permettez à d’autres utilisateurs de créer des comptes, insistez sur l’importance de la robustesse des mots de passe.
Les paramètres de mot de passe se trouvent dans l’onglet « Avancé » des profils utilisateurs du Panneau de configuration. Cochez les options suivantes : « Inclure les majuscules », « Inclure des caractères numériques », « Inclure des caractères spéciaux », et « Exclure les mots de passe courants ». Pour une sécurité renforcée, augmentez la longueur minimale du mot de passe à au moins huit caractères, voire plus.
Pour prévenir les attaques par dictionnaire (méthode consistant à deviner les mots de passe), activez le blocage automatique. Cette option bloque automatiquement les adresses IP qui tentent de multiples connexions infructueuses dans un court laps de temps. Le blocage automatique est activé par défaut sur les NAS Synology récents, et se trouve dans Panneau de configuration > Sécurité > Compte. Les paramètres par défaut bloqueront une adresse IP après dix tentatives infructueuses en cinq minutes.
Enfin, activez le pare-feu de votre Synology. Avec le pare-feu activé, seuls les services que vous aurez explicitement autorisés seront accessibles depuis internet. Attention : si vous activez le pare-feu, il vous faudra créer des exceptions pour certaines applications comme Plex, et ajouter des règles de redirection de port si vous utilisez un VPN. Les paramètres du pare-feu se trouvent dans Panneau de configuration > Pare-feu de sécurité.
Malgré toutes les précautions prises, le risque de perte de données et d’attaques par rançongiciels persiste. Il est important de noter qu’un NAS n’est pas un système de sauvegarde en soi. La meilleure solution reste la sauvegarde hors site de vos données. Ainsi, en cas de problème majeur (attaque par rançongiciel ou panne matérielle), vous pourrez restaurer vos données avec une perte minimale.