En fin d'année 2017, comme beaucoup d'autres constructeurs, Toshiba proposait un correctif pour la faille de sécurité KRACK (Key Reinstallation Attacks) qui affecte le protocole d'authentification WPA2 des connexions sans fil Wi-Fi. Ce correctif concernait par exemple les cartes SD communicantes FlashAir mais aussi les disques durs externes et SSD connectés Canvio AeroMobile, Canvio AeroCast et Canvio Wireless Adapter ainsi que leurs déclinaisons.

L'année passée, une autre vulnérabilité a beaucoup fait parler d'elle à savoir la faille CVE-2017-7494 qui touche, elle, le protocole de partage de fichiers Samba qui est essentiellement utilisé dans l'environnement Linux que ce soit sur des PC, des serveurs ou des NAS. D'ailleurs, nous avions parlé à plusieurs reprises des NAS Western Digital My Cloud pour lesquels WD avait finalement proposé un firmware solutionnant ce problème avec Samba.

De son côté, Toshiba a implémenté le protocole Samba dans ses différents disques durs externes Canvio disposant d'une connectivité réseau Wi-Fi afin que les utilisateurs de Windows et du protocole jumeau SMB puissent partager leurs fichiers avec ces appareils. Ces produits Canvio sont donc vulnérables à la faille CVE-2017-7494 et le constructeur japonais était resté muet depuis l'année dernière sur ce sujet. Au mois de juillet 2018, Toshiba a finalement donné des nouvelles mais qui ne sont malheureusement pas bonnes puisque Toshiba annonce la fin du support logiciel de ces produits qui ne bénéficieront plus d'aucune mise à jour et donc pas du fameux correctif pour Samba.

Produits Toshiba concernés par l'arrêt du support logiciel

• Canvio AeroCast (HDTU110)
• Canvio AeroCast Wireless HDD (HDTU110)
• Canvio Cast Wireless Adapter (HDWW100)
• Canvio Wireless Adapter (HDWW100)
• STOR.E Wireless Adapter (HDWW100)

Toshiba explique que les Canvio AeroCast ne sont plus fabriqués depuis décembre 2016 et même depuis février 2016 pour les Canvio Wireless Adapter ce qui justifie cette décision de ne plus les maintenir. Mais quand même, on pourrait espérer de la part d'une telle firme multinationale un support complet pendant quelques années après la fin des ventes d'un appareil surtout lorsqu'il s'agit de corriger un problème de sécurité critique !

Au lieu de cela, Toshiba informe les utilisateurs qu'ils doivent impérativement déconnecter d'Internet les produits ci-dessus sous peine de voir leur appareil compromis. La faille CVE-2017-7494 permet en effet à un utilisateur client malveillant d'envoyer une librairie sur un partage Samba accessible en écriture et de faire exécuter ce code par la machine vulnérable, le disque dur connecté en l'occurrence. Il peut en découler la divulgation d'informations voire la prise de contrôle complète de l'équipement.

Toshiba indique toutefois que l'on peut encore utiliser le disque dur Canvio en sécurité à condition de le configurer en mode point d'accès (AP) et que les appareils qui s'y connectent directement (PC, smartphones, tablettes...) soient eux-mêmes déconnectés au préalable d'Internet que ce soit par leur connexion mobile de données (3G/4G) ou par leur connexion Wi-Fi. En revanche, si le disque dur Canvio reste configuré en mode Station ou Bridge et se connecte donc à un routeur Wi-Fi, il reste potentiellement vulnérable à cette faille.

A noter que même pour ceux qui choisiront de passer en mode AP comme recommandé par Toshiba, il est très important de mettre à jour le firmware de ces produits vers les versions 1.2.8 ou 2.0.7 sorties fin 2017 afin de se prémunir contre la faille KRACK du WPA2.

Téléchargement du firmware correctif pour KRACK

• Firmware 1.2.8 pour les disques durs Toshiba Canvio AeroCast
• Firmware 2.0.7 pour les disques durs Toshiba Canvio/STOR.E Wireless Adapter

Actualité publiée par Julien Sambourg le mercredi 15 août 2018 à 10:47
Commenter cette actualité
Marque associée : Toshiba
Catégories associées : Disque dur (HDD) Lecteur de stockage
Flux RSS des actualités TousLesDrivers.com