• # Même pas étonné.

    Posté par . En réponse au journal Avoir l'alarme à l'oeil. Évalué à 10. Dernière modification le 25 septembre 2023 à 14:52.

    J'ai acheté un petit NAS fin juin. J'aurai probablement du faire comme tout le monde et prendre un Synology ou un QNAP mais je me suis finalement décidé pour un outsider ; appelons le Dellzeus.

    J'ai reçu la bête le 28 juin et le 10 juillet j'avais déjà soumis 7 tickets et plusieurs emails à l'équipe «security» de Dellzeus. Je ne vais pas donner trop de détails car tout n'est pas résolu mais par exemple mon premier ticket contenait le commentaire suivant "Folder encryption can be broken with a paper clip!".

    La première réponse à mon 1er ticket, donc celui concernant le chiffrage des dossiers, contenait «Notre OS n'est pas une solution Linux complète. Il n'est possible d'utiliser toutes les mêmes commandes et de raisonner entièrement comme sur Linux. Nous utilisons busybox.» C'est cela oui ... Le ton avait légèrement changé après une semaine d'échanges. La réponse à mon dernier ticket juste avant que le support ne me demander de contacter directement l'équipe security était «Énorme merci à vous. je vais voir avec notre CEO ce qu'on peut faire».

    L'impression que tout cela ma laissé est qu'ils ont utilisé Linux pour leur NAS mais que leurs développeurs n'y comprennent pas grand chose. C'est un NAS quand même! Par exemple, une des failles corrigées récemment concernait le dossier /dev dans lequel TOUT les fichiers devices était rwxrwxrwx. Si si c'est possible. Je n'en croyais pas mes yeux. Plus généralement, il y avait, et il y a encore, de nombreux fichiers et dossiers systèmes accessibles en écriture pour tous. C'est de loin la pire machine Linux que j'ai pu rencontrer (pire que le mini NAS acheté au début des années 2000 avec un port telnet non désactivable et sans mot de passe root. J'ai pas de bol avec mes NAS!).

    Autant dire que pour le moment, je ne met rien de critique sur ce NAS.