En marge de la conférence Synology 2015 qui a eu lieu la semaine dernière, j’ai eu la chance de pouvoir m’entretenir avec M. Derren LU responsable de la filiale en France. C’est dans un salon privé qu’a eu lieu ce tête à tête très enrichissant. Plusieurs sujets ont pu être ouvertement abordés dont ceux que certains m’avaient remontés et pour lesquels ils souhaitaient obtenir de plus amples renseignements. Quelle a été la réaction de Synology vis à vis de SynoLocker? Quelle est la position de Synology vis à vis de XPEnology? Synology prépare-t-il quelque chose lié à la domotique? Ces trois questions pertinentes pour les lecteurs du blog ont trouvé réponse auprès du responsable de la filiale française.
Le passé: Synology vs SynoLocker
Le mois d’août 2014 n’a pas été de tout repos pour Synology. Vers le 4 août un logiciel malveillant sévissait sur les plateformes NAS Synology. Il n’effaçait pas les données personnelles sur les NAS, Il ne volait pas de données non plus. Ce malware “s’amusait” à crypter les fichiers présents sur le NAS infecté et ne proposait la clé de décryptage qui si vous acceptiez une demande de rançon.
Averti très tôt par des clients, la marque a réagit très rapidement en mobilisant ses équipes un peu partout dans le monde. Elle a contacté les autorités locales dans les pays concernés (Police Nationale, FBI,…). En France Synology n’a pas pu porter plainte car ce n’était pas elle qui subissait les attaques des maîtres chanteurs mais les clients infectés. Si Un ordinateur d’une marque X se trouvait infecté par un logiciel malveillant, ce n’est pas la marque X qui est attaquée mais le propriétaire de l’ordinateur en question. Seul lui peut porter plainte. Synology a décidé d’accompagner ses clients dans cette démarche.
La marque a ensuite du choisir le type de communication à mener. Devait-elle communiquer publiquement au plus grand nombre ou bien simplement aider les clients à joindre les autorités compétentes? La marque a opter pour les 2. Consciente que le client dont le NAS serait infecté tenterait en premier lieu de les joindre elle a décidé de communiquer massivement sur cette attaque afin que chacun puisse réagir rapidement. Quitte à risquer de se faire une mauvaise publicité.
Synology a rapidement cerné le périmètre des NAS capables d’être infectés. Il s’agissait de serveurs qui n’avait pas été mis à jour depuis décembre 2013. A cette date, à l’occasion d’une mise à jour, un patch corrigeant une faille de sécurité avait été rendu disponible. Cette faille de sécurité était celle qu’utilisait SynoLocker. La chance a voulu que la grande majorité des clients avaient effectué cette mise à jour pour bénéficier par exemple de la version 5.0 du DSM, le logiciel permettant aux NAS Synology de fonctionner. Par les nouvelles fonctionnalités proposées, Synology avait donc fort heureusement et de manière involontaire déjà patché les nombreux NAS présents dans le monde. Il ne faut pas oublier que comme seul le propriétaire de la clé cryptage est capable de rendre les fichiers lisibles. Synology se retrouve de fait dans l’incapacité de déchiffrer les fichiers qui ont déjà été chiffrés. Seul le maître chanteur est en mesure de rapidement rétablir la situation.
Le chiffre exact des NAS infectés n’est pas connu. D’après M. Lu, il n’est pas certain que tous les clients aient contacté Synology ce chiffre restera incomplet. Ce qui est sûr c’est qu’il est infime par rapport au nombre de NAS installé un peu partout adns le monde. Cette attaque n’a fort heureusement pas fait beaucoup de victimes mais elle est prise au sérieux par Synology qui ne souhaite pas laisser ses clients attaqués sur le bas côté et qui souhaite également conforter son image de solution fiable de cloud personnel.
L’arrivée très prochaine de Security Advisory et de la possibilité d’installer en automatique les patchs de sécurité sont assurément une première réponse pour ne plus avoir à rencontrer ce genre d’aventures.
Le présent: cohabitation avec XPEnology
A l’occasion de la conférence annuelle de Synology il se disait que les solutions les plus vulnérables au “randsomware” SynoLocker étaient les solutions basées sur XPEnology. Cela découle du fait que les concepteurs de cette solution, qui n’ont rien à voir avec Synology, doivent travailler d’arrache pied pour construire une version de XPEnology à jour par rapport aux nouveautés (et aux correctifs) apportées par Synology.
Synology a construit un business model en proposant à ses clients une solution matérielle ET logicielle de sauvegarde. L’un est optimisé pour fonctionner le plus efficacement possible avec l’autre. Le logiciel Synology n’est donc pas vendu par la marque Taïwanaise séparément d’un serveur physique. Le fait que Synology ait construit son offre logicielle en partie sur base de logiciel libre les oblige à publier ce code. Dans l’offre certaines parties sont développées entièrement par l’entreprise et comme nous le relate le blog Cachem, toute solution logicielle basée sur les développements logiciels de Synology sans le consentement express de la marque ne serait pas en accord avec le droit lié à la propriété intellectuelle. XPenology tombe dans ce cas.
Pour Synology, le cas XPEnology est important et est suivi de très près sans être aujourd’hui trop inquiétant. La communauté utilisant XPEnology est vue comme petite et plutôt bienveillante par rapport à la marque. Bienveillante car elle reconnaît les qualités de la solution développée par Synology et aide à diffuser en quelques sortes ce message. M. Lu, à une échelle toute autre, compare la situation de Synology avec celle de Apple. Les iPad et iPhones n’étant pas entièrement ouverts à leurs propriétaires certains clients utilisent des contournements pour les débrider et pouvoir ainsi y installer des logiciels non validés par Apple. Pour Synology l’utilisation de XPEnology est similaire. Tant que l’utilisation ne pénalise pas de manière significative l’activité de Synology, la sanction sera encore la même que celle de Apple: pas de ressources importantes pour lutter activement contre le fléau seront consacrées.
Le futur: et la domotique dans tout cela?
Quand on parle de Synology et de domotique on doit tout de même parler d’un présent bien ancré, d’une relation actuelle. Les particuliers installant leur propre domotique s’équipent de NAS pour plusieurs raisons:
- avoir un serveur de stockage local de vidéo
- avoir un serveur de stockage local d’audio
- avoir un serveur web local pour pouvoir installer des scripts permettant d’apporter des fonctionnalités que leur centrale domotique ne peut pas fournir
- avoir un serveur web local permettant d’héberger une interface de consultation ou de pilotage entièrement personnalisée.
- avoir un serveur de base de données local pouvant héberger les différents relevés de données domotiques.
- …
Le NAS Synology est une valeur sûre pour remplie l’un de ces rôles… ou même tous ces rôles en même temps!
Un installateur professionnel de domotique me confirmait encore en début de mois que cette solution de stockage était également très prisée dans les installations professionnelles. Les besoins étant similaires à celui des particuliers qui installent eux même leur domotique, la solution identique est naturelle. Cette marque jouit d’une certaine réputation chez les installateurs / intégrateurs. Elle leur permet d’offrir à leurs clients une réponse à une attente forte: une grande stabilité, une possibilité de prise en main à distance pour tout type d’interventions, et un taux de panne très faible. La solution semble avoir une bonne presse dans le secteur de la domotique.
Synology conscient qu’il s’agit là d’un marché en émergence est à ce jour en mode “surveillance active du marché”. Des solutions domotiques proposées par Synology et fonctionnant sur les serveurs NAS de la marque ne sont pas pour maintenant. Il s’agit cependant d’un terrain sur lequel la marque pourrait apparaître dans le futur. Derren LU étant très intéressé par le sujet, il est très probable que des fonctionnalités liées à la domotique fassent leur apparition. Sous quelle forme? Aucune piste n’est donnée. On peut se laisser rêver à imaginer un NAS qui proposerait des fonctionnalités intégrées d’une box domotique. Dans un NAS Synology qui fonctionne déjà 24h/24 7J/7 cette éventualité n’est pas dénuée d’intérêt. Synology se réserve également le droit de surprendre dans le futur en proposant des services pour la domotique tout à fait innovants.
Pour cette platefrome, il existe déjà des packages domotiques mis à disposition de la communauté des propriétaires de NAS Synology. On pense à un package dédié à l’IPX-800 (Serveur Multicartes IPX800) ou bien encore à un package plus généraliste SynoZwave proposant ce genre de services. Ceux qui souhaitent que leur NAS leur propose ce genre de fonctionnalités peuvent déjà trouver leur bonheur dans ces solutions. Ils ont “juste” à installer le package souhaité et à acquérir le matériel domotique adéquat (l’IPX ou bien la clé USB Z-Wave).
Peut-être verrons nous un jour arriver une nouvelle application du style Home Station accompagnée de l’application pour mobiles DS Home permettant de piloter et contrôler son foyer qui sait? A suivre en tout cas!
Conclusion
On le voit Synology sait qu’il ne faut pas qu’ils s’endorment sur ses lauriers. La position de Numéro 1 des serveurs NAS en France peu être mise à rude épreuve par la malveillance des uns ou la copie des autres. Pour un cas d’utilisation tel que la domotique même si aujourd’hui rein de franchement concret n’est sorti du DSM concernant le pilotage, le suivi ou encore le contrôle du foyer, le taïwanais n’a pas dit son dernier mot. Synology comme bon nombre d’acteurs souhaite rentrer dans la danse… mais pas de manière précipitée. Encore quelques temps et je suis certain que la décision définitive sera prise de se lancer ou non dans l’aventure de la smart home. Ils ont de sérieux atouts pour apporter des solutions adaptés à ce marché.
En petit mot de la fin, je souhaite remercier M. Derren LU pour sa gentillesse, le temps accordé à ce long entretient et pour les échanges passionnants.