[Rage] Un mystère sauce Qnap
Je dispose d'un vénérable Qnap TS-653 Pro, un NAS 6 disques qui m'accompagne depuis environ 10 ans, et qui n'a encore jamais failli. L'autre jour, je me suis mis en tête de migrer une partie de mes conteneurs Docker sur mon Raspberry Pi 2, tout aussi vénérable lui aussi vu son âge mais fonctionnel également. Cela pourra d'ailleurs faire l'objet d'un autre billet, mais ce n'est pas le propos aujourd'hui.
À un instant T, ayant joué sur la configuration réseau en voulant faire de l'ordre, je me retrouve dans une situation où je n'y accède plus par le réseau. Je commence d'abord par essayer de revenir à une configuration réseau accessible en utilisant les boutons physiques et le petit écran LCD sur le NAS lui-même. Problème, seuls deux boutons sont présents, "ENTER" et "SELECT" et il faut jongler dans les menus puis paramétrer une IP et surtout un masque de sous-réseau avec ces deux boutons seulement... comme j'avais la flemme et que je voulais gagner du temps (ahah), je me suis dit que j'allais simplement faire un soft-reset du NAS: c'est une opération qui réinitialise les valeurs par défaut de la configuration TCP/IP, du port d'accès par défaut, et aussi du mot de passe de l'administrateur système. Pas de souci me dis-je, je l'ai déjà fait par le passé, je sais que le mot de passe est ensuite l'adresse MAC de l’adaptateur 1 qui est imprimé sur le NAS. Aussi, mes backups sont fonctionnels, donc ce sont deux raisons qui font que je suis plutôt confiant. Alors, j'attrape un trombone et je pousse le bouton reset situé à l'arrière du NAS. Ce fut le début des emmerdes...
Le suraccident
Le NAS bip comme prévu, j'utilise QFinder Pro (le logiciel facultatif mais pratique de configuration de Qnap) pour trouver son IP attribuée par mon DHCP. Je me connecte par le navigateur et j'entre "admin" et ma première adresse MAC pour le mot de passe, en collant tous les caractères. Ça ne marche pas, tiens. J'ai probablement mal entré les caractères, je recommence. Toujours pas. Je reprends une photo de l'arrière du NAS, je vérifie que c'est bien l'adapteur 1 que j'entre. Oui, c'est bien ça. Je réessaie une dizaine de fois, également en SSH. Rien ne fonctionne, et je commence à transpirer.
Je fais une recherche rapide sur le net, je retombe sur les mêmes infos. Je fouille un peu plus et je tombe finalement sur cette page, qui dit en substance:
"À partir de QTS/QuTS hero 5.2.0, le mot de passe administrateur par défaut a été modifié pour correspondre à la Cloud Key de l'appareil."
OK, c'est cool... mais c'est quoi une "Cloud Key", bordel ?!? Jamais entendu parler. Transpiration à grosses gouttes. D'autant plus que comme mon NAS est à jour, je vois bien dans QFinder Pro son firmware en 5.2.x me narguer. Pas de problème, je continue l'enquête ! Il se trouve que les Qnap récents sont livrés avec un autocollant avec la "Cloud Key" directement dessus. Le mien, non. Pour trouver ladite "Cloud Key", il faut utiliser QFinder Pro et afficher les détails de l'appareil, quelle bonne nouvelle ! La mauvaise, c'est que cela implique... de savoir s'identifier dans le NAS. Mais dites-donc, ne serait-ce pas l'histoire du serpent qui se mange la queue ..? Et surtout, pourquoi ne plus utiliser l'adresse MAC du NAS ?
La raison de ce changement est (je cite Qnap), que "pour se conformer aux exigences de l'UE en matière de cybersécurité, les fabricants doivent éviter les identifiants par défaut universels. Les normes européennes et industrielles correspondantes exigent l'absence de mots de passe par défaut universels, imposant des identifiants uniques par appareil ou obligeant à modifier le mot de passe lors de la première utilisation."
Alors autant je comprends que la cybersécurité est l'affaire de tous, autant je ne comprends pas comment il est possible qu'un acteur comme Qnap n'ait pas mieux communiqué sur ce changement que je qualifie de majeur ! Je suis plutôt informé, je lis des news régulièrement, et je n'ai aucun souvenir d'une telle annonce...
Je me retrouve donc à devoir trouver ma "Cloud Key", unique moyen de connexion dans mon NAS, tout en n'ayant aucun moyen de me connecter dedans. :) Pour ça, Qnap, merci.
La procédure qui sauve
Comme je ne suis heureusement pas le premier à qui cela arrive, je tombe sur ce post reddit qui explique la délicate manipulation à entreprendre.
- Mettre l'appareil hors tension. Dans mon cas, extinction au bouton, pas plus de 1,5 secondes d'appui pour laisser le NAS s'éteindre "proprement".
- Déconnecter tous les disques durs ou SSD. Oui, ça fait flipper.
- Mettre l'appareil sous tension.
- Lancer le programme "Qfinder Pro".
- Cliquer sur « Détails » dans le menu.
- Trouver la fameuse "Cloud Key".
- Mettre à nouveau l'appareil hors tension, puis reconnecter tous les périphériques de stockage, disques durs et SSD.
- Mettre l'appareil sous tension, lancer "Qfinder Pro" et se connecter avec l'identifiant initial : "admin" et le mot de passe initial, soit la "Cloud Key" que vous venez de trouver.
Epilogue
Une fois cette manipulation faite, tout est rentré dans l'ordre. Je ne saurais trop conseiller aux possesseurs de Qnap de trouver immédiatement leur "Cloud Key" et de la noter dans un espace sécurisé en cas de pépin.
À bon entendeur...
Strik-Strak