Inscription : le 16/02/2001
Localisation : Vitrolles
Toshiba abandonne le SSD Canvio AeroMobile Wireless SSD avec ses 18 failles
Nous vous informions au mois d'août de l'arrêt du développement logiciel pour les disques durs nomades connectés Toshiba Canvio AeroCast Wireless HDD ainsi que pour les adaptateurs Canvio Wireless Adapter (et STOR.E) qui permettent de transformer un disque dur portable USB en disque dur sans fil Wi-Fi. L'information pourrait paraître anodine mais pas tant que ça en réalité puisque la faille de sécurité CVE-2017-7494 qui affecte ces produits et plus particulièrement le service de partage de fichiers Samba ne sera jamais corrigée ce qui laisse ces disques durs connectés vulnérables à une intrusion et à un vol de données. Toshiba explique cependant que même si la faille ne sera pas corrigée, les utilisateurs peuvent continuer d'utiliser le produit sans risques en mode point d'accès (AP). Les autres modes Station et Bridge ne doivent, eux, plus du tout être utilisés !
L'hécatombe continue malheureusement chez Toshiba puisque c'est au tour du SSD portable Canvio AeroMobile Wireless SSD de subir un sort équivalent. Toshiba annonce en effet que ce produit aussi ne bénéficiera plus de mises à jour de son firmware pour apporter des améliorations et corrections de bugs. Ce SSD mobile avait pourtant été lancé en 2015 seulement.
Cela est d'autant plus regrettable que ce SSD connecté est affecté par de nombreuses failles de sécurité qui ne seront donc, là encore, pas corrigées. Ce sont en tout 18 vulnérabilités qui touchent différents composants logiciels du système Linux de ce SSD dont quatre failles critiques qui ont obtenu le score CVSS de 10.0 autrement dit le niveau de risque le plus élevé ! Ces quatre failles concernent Samba (différente de celle des disques durs évoquée ci-dessus), ez-ipupdate, FFmpeg et SQLite. La bonne majorité des autres vulnérabilités qui touchent le Canvio AeroMobile Wireless SSD sont tout de même qualifiées d'élevées (score CVSS compris entre 7.0 et 8.9) et autorisent l'exécution de code arbitraire à distance qu'il faut traduire par la récupération sans autorisation des données stockées sur le SSD.
Liste des vulnérabilités qui affectent le Toshiba Canvio AeroMobile Wireless SSD
Comme vous pouvez le voir, la découverte de toutes ces failles n'est pas vraiment récente et une bonne partie d'entre elles l'ont même été avant le lancement de ce SSD Canvio AeroMobile Wireless SSD ! On se demande donc vraiment pourquoi Toshiba n'a rien fait toutes ces années pour proposer des correctifs à l'exception quand même de la faille de sécurité KRACK qui affecte le protocole WPA2 et qui a bénéficié en février 2018 du firmware correctif 2.000.220 de la part de Toshiba.
Tout comme pour le disque dur externe Canvio AeroCast Wireless HDD, Toshiba indique que le fait de désactiver le mode Station grâce à l'application mobile Android/iOS Canvio AeroMobile puis de se déconnecter du point d'accès à Internet permet de contourner la principale faille CVE-2012-1182 liée à Samba. C'est un moindre mal même si cela ne contentera sans doute pas grand monde.
Bref, il est vraiment dommage que Toshiba abandonne à ce point le support de ses produits existants ce qui découle sans doute des difficultés du groupe et de la grande réorganisation qui en a suivi avec notamment le rachat de la branche mémoire flash NAND par un consortium d'investisseurs sous la marque Toshiba Memory. Cela ne donne malheureusement pas vraiment envie d'investir dans d'autres produits Toshiba à l'avenir...
Actualités
16/04/24 Le logiciel Portable SSD Software tire sa révérence pour les SSD USB Samsung
19/04/24 Elgato Control Center 1.6.0.536
18/04/24 Logitech G HUB 2024.3.3733
18/04/24 JVC KY-PZ200 1.1.57
18/04/24 SIGMA 150-600mm F5-6.3 DG DN OS | Sports Sony E-Mount 56389566 04
