Début avril, WD avait confirmé avoir été piraté après qu'il fut découvert que les utilisateurs ne pouvaient plus accéder aux services ni les données (pour certains) de leur(s) appareil(s) de la gamme My Cloud. L'épisode subséquent prit la forme d'une demande de grosse rançon par les pirates en échange de 10 To de données dérobées lors de l'infiltration. WD ne s'est a priori jamais exécuté. En attendant, l'affaire a permis de révéler l'existence d'une faille/vulnérabilité particulièrement problématique - enregistrée sous l'identifiant CVE-2022-36327 et notée 9,8/10 selon l'évaluation de sévérité CVSS - dans le système d'authentification des appareils My Cloud Home, My Cloud Home Duo, SanDisk ibi et My Cloud OS 5.
Heureusement (enfin, ce n'est pas comme si l'entreprise avait vraiment eu le choix), WD avait fait le travail requis entre-temps. Ainsi, une mise à jour corrigeant la faille en question et 3 autres problèmes "moyennement sévères" est disponible depuis le 15 mai pour My Cloud OS 5. Il s'agit du firmware 5.26.202. Pour les appareils My Cloud Home, My Cloud Home Duo et SanDisk ibi, la faille a été corrigée le 26 mai avec le firmware 9.4.1-101.
Tout va bien qui finit bien ? Oui, pour ceux qui ont mis à jour leur machine dans la foulée comme requis. En revanche, depuis le 15 juin, tous les appareils non patchés possédant à ce jour toujours une version antérieure aux firmwares mentionnés ci-dessus ne peuvent officiellement plus se connecter aux services cloud de Western Digital ! Pour un utilisateur de My Cloud OS 5, ceci signifie que les données ne peuvent qu'être accédées localement. Pour les autres, plus rien n'est accessible ! WD explique que cette décision a été prise pour se protéger d'une nouvelle cyberattaque potentiellement compromettante.
Bref, pour retrouver vos données et l'usage normal de votre appareil, ce n'est pas bien compliqué, il faut le mettre à jour ! Pour la procédure à suivre, c'est par ici.
