Sécuriser son NAS Synology ou QNAP en 2026

Printemps 2022. François, 52 ans, de Longueuil, allume son ordinateur un samedi matin pour accéder aux photos de famille sur son NAS QNAP — 4 téraoctets de souvenirs accumulés depuis 2011. L’interface web de son NAS affiche un message en anglais, fond rouge : « Your files have been encrypted by DeadBolt. Send 0.03 BTC to decrypt. »

Toutes ses photos, ses films, ses documents de travail freelance, ses factures depuis 10 ans. Chiffrés. Extension .deadbolt sur chaque fichier.

François n’avait pas de sauvegarde externe. Son NAS était sa sauvegarde — il pensait qu’un NAS avec deux disques en RAID 1 était « protégé ». Il ne comprenait pas la différence entre redondance (RAID) et protection contre les ransomwares. Il n’a jamais su comment DeadBolt avait trouvé son NAS. Il avait simplement cliqué sur « activer l’accès distant » dans l’assistant de configuration de QNAP trois ans plus tôt, sans lire ce que ça impliquait.

Il a payé. La clé a fonctionné. Il a récupéré ses photos. Et il a appris à ses dépens ce que signifie un NAS exposé à internet.

Pourquoi les NAS sont devenus des cibles prioritaires pour les ransomwares

Un NAS domestique ou de petite entreprise représente l’idéal pour un groupe de ransomware : des données précieuses (photos, vidéos, documents personnels, sauvegardes d’ordinateurs), souvent sans protection avancée, souvent exposé directement à internet, et souvent géré par quelqu’un qui n’est pas technicien.

Les groupes derrière eCh0raix et DeadBolt ont industrialisé le ciblage des NAS. Ils utilisent des scanners automatisés qui parcourent des millions d’adresses IP à la recherche de ports ouverts caractéristiques des interfaces de gestion Synology (5000, 5001) et QNAP (8080, 443, 8443). Quand ils trouvent un NAS accessible, ils testent automatiquement des mots de passe courants et des exploits connus.

Les chiffres documentés :

• eCh0raix : signalé pour la première fois en 2019, actif jusqu’en 2024. Des vagues de compromissions massives ont été documentées en 2019, 2020, 2021, et 2023. Le FBI a publié un avis de sécurité en 2022 mentionnant eCh0raix comme menace active pour les NAS QNAP et Synology.
• DeadBolt : 50 000+ NAS QNAP compromis dans la première vague de janvier 2022 selon Censys. Retours documentés en avril, juin, septembre et novembre 2022. Estimé à avoir généré plusieurs millions de dollars en rançons.
• Qlocker : ransomware QNAP de 2021, a chiffré des milliers d’appareils en une semaine en utilisant l’outil 7-Zip intégré à QTS pour archiver les fichiers avec un mot de passe. Rançon : 0,01 BTC.

Un point commun à toutes ces attaques : les victimes avaient leur NAS accessible directement depuis internet. Soit par un port forwarding configuré intentionnellement, soit par UPnP automatique, soit via les services cloud officiels du fabricant (QuickConnect pour QNAP, Synology QuickConnect).

Étape 1 : Vérifier si votre NAS est actuellement exposé à internet

Avant tout changement, savoir où vous en êtes.

Méthode rapide :

1. Trouvez votre IP publique : allez sur whatismyip.com depuis votre réseau domestique
2. Allez sur yougetsignal.com → Open Port Check Tool
3. Testez les ports suivants avec votre IP publique :
   • 5000 et 5001 : interface web Synology DSM (HTTP et HTTPS)
   • 8080 et 443 : interface web QNAP QTS
   • 8443 : interface QNAP alternative
   • 22 : SSH (si activé)
   • 21 : FTP (si activé)

Si un de ces ports répond comme « open », votre NAS est accessible depuis internet sans VPN. N’importe qui dans le monde peut tenter de se connecter.

Vérification dans votre routeur :

Connectez-vous à l’interface de votre routeur (souvent 192.168.1.1 ou 192.168.0.1) et vérifiez deux sections :

• Port Forwarding (ou Redirection de ports) : y a-t-il des règles qui pointent vers l’adresse IP locale de votre NAS ?
• UPnP : est-ce activé ? Si oui, des appareils peuvent avoir ouvert des ports à votre insu

Vérification dans l’interface NAS :

Sur Synology DSM : Panneau de configuration → Réseau externe → RouterConf → vérifiez les règles UPnP actives Sur QNAP QTS : Panneau de configuration réseau → Port Forwarding & DMZ → vérifiez les règles

Étape 2 : Fermer les ports exposés (ou déployer un VPN)

Option A — Désactiver l’accès externe (recommandé pour la majorité) :

Si vous n’avez pas besoin d’accéder à votre NAS depuis l’extérieur de votre maison ou bureau, c’est la meilleure option. Zéro exposition = zéro attaque distante.

Dans votre routeur :

1. Supprimez toutes les règles de port forwarding pointant vers votre NAS
2. Désactivez l’UPnP globalement (cherchez « UPnP » dans les réglages avancés)

Dans votre NAS :

• Synology : Panneau de configuration → Réseau externe → désactivez QuickConnect et toutes les règles UPnP
• QNAP : Panneau de configuration → System → QuickConnect → désactivez ; myQNAPcloud → désactivez

Option B — Déployer un VPN (recommandé si vous avez besoin d’accès distant) :

Plutôt que d’exposer directement le NAS, exposez seulement un serveur VPN. Vous vous connectez d’abord au VPN, puis vous accédez au NAS comme si vous étiez sur votre réseau local. Le NAS lui-même n’est plus visible depuis internet.

Options :

• VPN dans votre routeur : certains routeurs (Asus, Netgear) ont OpenVPN ou WireGuard intégré
• VPN sur Synology : Synology VPN Server (paquet disponible) supporte OpenVPN et WireGuard
• VPN sur QNAP : QVPN Service dans le QNAP App Center

WireGuard est préférable à OpenVPN pour les performances et la configuration moderne.

Étape 3 : Activer la 2FA sur votre NAS

Si l’accès distant est nécessaire, la 2FA est obligatoire.

Sur Synology DSM :

1. Connectez-vous à DSM
2. Cliquez sur votre avatar (coin supérieur droit) → Personal → Account → Two-Factor Authentication
3. Activez avec l’application Authenticator (Google Authenticator, Authy, ou l’application Synology Secure SignIn)
4. Scannez le QR code, entrez le code de validation
5. Sauvegardez les codes de secours en lieu sûr (pas sur le NAS lui-même)

Pour forcer la 2FA pour tous les utilisateurs : Panneau de configuration → Utilisateurs et groupes → Sécurité du compte → cochez « Appliquer la vérification en 2 étapes ».

Sur QNAP QTS :

1. Connectez-vous à QTS
2. Options de compte (avatar) → Options de compte → Sécurité → Vérification en 2 étapes
3. Suivez l’assistant d’activation avec une application TOTP
4. QNAP supporte aussi les clés de sécurité physiques FIDO2/WebAuthn depuis QTS 5.0

Pour forcer la 2FA à tous les utilisateurs : Panneau de configuration → Utilisateurs → Politique de sécurité du compte.

Étape 4 : Renommer le compte admin et désactiver le compte par défaut

C’est une des mesures les plus ignorées. Presque tous les NAS ont un compte « admin » par défaut. eCh0raix effectue des attaques par force brute spécifiquement contre le compte « admin » — c’est le premier nom d’utilisateur qu’il teste.

Sur Synology :

1. Panneau de configuration → Utilisateurs et groupes → Créer un nouvel utilisateur avec un nom unique (pas « admin », pas votre prénom)
2. Donnez-lui tous les droits administrateur
3. Connectez-vous avec le nouveau compte
4. Désactivez le compte « admin » par défaut (Panneau de configuration → Utilisateurs → admin → sélectionner → Modifier → désactiver)

Sur QNAP :

1. Panneau de configuration → Utilisateurs → Créer un nouvel utilisateur administrateur avec un nom unique
2. Connectez-vous avec le nouveau compte
3. Panneau de configuration → Utilisateurs → admin → Modifier → désactivez le compte

Même chose pour le compte « guest » si présent — désactivez-le si vous ne l’utilisez pas.

Étape 5 : Configurer les snapshots immuables

Les snapshots sont la différence entre « ransomware = récupérable en 30 minutes » et « ransomware = catastrophe ».

Un snapshot capture l’état de vos données à un instant T. Si vos données sont chiffrées par un ransomware à T+30 jours, vous restaurez le snapshot de T ou T-1 jour. Mais pour que ça fonctionne, le snapshot doit être immuable — le ransomware ne doit pas pouvoir le supprimer.

Sur Synology — Snapshot Replication :

1. Installez le paquet Snapshot Replication depuis le Centre de paquets
2. Ouvrez Snapshot Replication → Snapshots → sélectionnez votre volume partagé
3. Activez les snapshots planifiés (toutes les heures ou toutes les 6h selon votre volume de changements)
4. Dans les paramètres des snapshots : activez Snapshot Protection (Make snapshot immutable) — cela empêche la suppression pendant la période de rétention
5. Configurez une rétention d’au moins 30 jours

Sur QNAP — Storage & Snapshots :

1. Ouvrez Storage & Snapshots depuis le menu principal
2. Dans Storage → Volumes → sélectionnez votre volume
3. Snapshots → Take a Snapshot maintenant pour tester, puis configurez un calendrier
4. Activez Snapshot Retention avec une période de rétention d’au moins 30 jours
5. Pour une protection maximale, créez un volume de snapshots séparé sur des disques dédiés

Attention critique : Si votre NAS est compromis avec un compte admin, un attaquant peut supprimer vos snapshots avant de chiffrer vos données — sauf si les snapshots sont configurés comme immuables. Vérifiez que l’option d’immuabilité est bien activée, pas juste le calendrier de snapshot.

Étape 6 : Mettre à jour le firmware — immédiatement et en permanence

DeadBolt et Qlocker ont tous deux exploité des vulnérabilités dans des versions non patchées de QTS (QNAP) et DSM (Synology). Dans plusieurs cas documentés, QNAP avait publié un correctif 24 à 72 heures avant la vague d’attaques — les victimes n’avaient pas mis à jour.

Politique de mise à jour recommandée :

• Mises à jour de sécurité critiques : appliquez dans les 24 heures. Abonnez-vous aux bulletins de sécurité QNAP (security.qnap.com) et Synology (security.synology.com).
• Mises à jour majeures : attendez 48-72 heures après la sortie (pour éviter les bugs de première heure), puis appliquez.
• Paquets tiers (Plex Media Server, surveillance, etc.) : mettez à jour régulièrement — ils ont aussi leurs propres vulnérabilités.

Activez les notifications de mise à jour automatique dans l’interface de votre NAS : Panneau de configuration → Mise à jour → Notification de mise à jour automatique.

Ne configurez pas la mise à jour automatique sans test si vous avez des services critiques. Mais les mises à jour de sécurité critiques ne devraient pas attendre.

Étape 7 : Isoler le NAS sur un réseau séparé (avancé mais efficace)

Si votre routeur supporte les VLANs ou plusieurs réseaux Wi-Fi, placer votre NAS sur un segment réseau isolé est une excellente protection supplémentaire.

L’idée : votre NAS est sur un réseau LAN dédié. Vos ordinateurs sont sur un autre réseau. Un ransomware qui infecte votre ordinateur Windows ou Mac ne peut pas directement atteindre le NAS parce qu’ils ne sont pas sur le même réseau. L’accès au NAS se fait via un accès contrôlé entre les deux segments.

Comment sur les routeurs courants :

• Asus : réseau invité Wi-Fi séparé avec isolation réseau activée ; ou VLAN dans les paramètres avancés
• Netgear : réseaux Wi-Fi invités séparés avec isolation activée
• Ubiquiti/UniFi : VLAN dédiés avec firewall entre segments (setup plus complexe mais le plus robuste)
• TP-Link Deco / Google Nest : réseau invité avec isolation — moins de contrôle mais mieux que rien

Même un simple réseau Wi-Fi invité avec isolation réseau empêche un appareil infecté sur le réseau principal d’atteindre directement votre NAS.

Étape 8 : Configurer les sauvegardes hors-NAS

Un NAS sécurisé avec des snapshots immuables reste vulnérable à la destruction physique, au vol, et aux catastrophes (incendie, inondation). La règle 3-2-1 s’applique ici autant qu’ailleurs.

Notre article backup 3-2-1 : protéger ses photos et documents détaille la stratégie complète. Appliquée à un NAS :

• Copie 1 : données live sur votre NAS
• Copie 2 : snapshots immuables sur votre NAS (volume séparé)
• Copie 3 : sauvegarde cloud chiffrée, hors site

Pour la copie cloud, les NAS modernes ont des clients natifs :

• Synology Cloud Sync et Hyper Backup : supporte Backblaze B2, Wasabi, S3, Google Drive, Microsoft OneDrive
• QNAP Hybrid Backup Sync : supporte S3-compatible, Google Drive, Dropbox, OneDrive

Pour les données critiques (photos de famille, documents légaux), chiffrez avant d’envoyer au cloud : Synology Hyper Backup chiffre nativement avec une clé que vous contrôlez. Choisissez une destination qui offre la protection immutable object lock (Wasabi, Backblaze B2 avec Object Lock) pour que même si vos credentials cloud sont compromis, les sauvegardes existantes ne puissent pas être supprimées.

Les paramètres de sécurité souvent ignorés

Quelques réglages qui font une différence réelle et que la plupart des guides ne mentionnent pas :

Bloquer les connexions après X tentatives échouées :

Sur Synology : Panneau de configuration → Sécurité → Protection du compte → activez le blocage automatique après N tentatives échouées (recommandé : 5 tentatives, blocage permanent jusqu’à intervention manuelle). Ajoutez aussi une liste de blocage de pays si vous ne vous connectez jamais depuis l’étranger.

Sur QNAP : Panneau de configuration → System → IP Access Protection → activez et configurez.

Désactiver les services inutiles :

Faites un audit des services activés. SSH, Telnet, FTP, NFS, AFP, WebDAV — désactivez tout ce que vous n’utilisez pas. Chaque service actif est une surface d’attaque potentielle.

Chiffrement du volume :

Si votre NAS supporte le chiffrement des volumes (Synology Volume Encryption, QNAP Full-Disk Encryption), activez-le. Ça protège vos données si quelqu’un vole physiquement vos disques. Ça ne protège pas contre le ransomware actif, mais c’est une couche de défense supplémentaire pour le vol physique.

Journal d’accès :

Activez les journaux d’accès complets et configurez des alertes pour les connexions en dehors des heures habituelles ou depuis des IP inconnues. Sur Synology : Panneau de configuration → Journal → configurez les journaux de connexion et exportez-les vers un syslog externe si possible.

Si votre NAS a déjà été compromis

Si vous trouvez des fichiers avec des extensions .deadbolt, .ech0raix, .encrypt, ou un fichier README.txt avec une demande de rançon :

Ne pas payer immédiatement. Voici pourquoi et quoi faire d’abord :

1. Déconnectez le NAS d’internet : débranchez le câble réseau. Empêchez toute communication additionnelle.
2. Ne redémarrez pas si possible : un redémarrage peut effacer des données en mémoire utiles pour une analyse forensique.
3. Documentez : photographiez l’écran avec la demande de rançon, notez l’extension utilisée.
4. Vérifiez si des décrypteurs existent : avant de payer, vérifiez sur nomoreransom.org — une initiative Europol qui centralise les décrypteurs gratuits. Pour DeadBolt, un décrypteur gratuit a été publié par Bitdefender. Pour eCh0raix, Emsisoft a publié un décrypteur pour certaines versions.
5. Vérifiez vos snapshots : avant de conclure que tout est perdu, vérifiez si des snapshots immuables ont survécu.
6. Signalez : Centre canadien pour la cybersécurité (cyber.gc.ca), votre corps policier local.

Si vos snapshots ont survécu, la récupération est une question de minutes. Si vous n’avez pas de snapshots et qu’aucun décrypteur gratuit n’existe pour votre variante, vous êtes dans la situation de François de Longueuil : payer ou tout perdre.

Cette situation ne devait jamais se produire. C’est pour ça que les étapes précédentes existent.

Checklist de vérification NAS — à faire ce soir

Copiez cette liste et cochez-la :

• Ports 5000, 5001, 8080, 8443 testés depuis internet — fermés ?
• UPnP désactivé dans routeur ET dans NAS
• Port forwarding NAS supprimé du routeur
• QuickConnect / accès cloud direct désactivé (si pas nécessaire)
• Compte admin par défaut renommé ou désactivé
• Mot de passe admin : 16+ caractères, unique
• 2FA activée pour tous les comptes admin
• Firmware NAS à jour (dernière version stable)
• Snapshots immuables configurés avec rétention 30 jours
• Sauvegarde hors-NAS configurée (cloud chiffré ou disque externe déconnecté)
• Bloquer après tentatives échouées : activé
• Services inutiles (FTP, Telnet, NFS) : désactivés
• Abonné aux alertes de sécurité QNAP ou Synology

Chaque case non cochée est un vecteur d’entrée potentiel pour un ransomware.

Pour aller plus loin sur la protection contre les ransomwares en général, notre article ransomware 2025 : guide PME québécoise couvre les vecteurs d’attaque actuels et les meilleures pratiques de récupération.

Conclusion

Des dizaines de milliers de NAS ont été chiffrés par DeadBolt et eCh0raix parce que leurs propriétaires ne savaient pas qu’ils étaient exposés. L’assistant de configuration de QNAP et Synology rend l’accès distant très facile — trop facile, sans assez d’avertissements sur les risques.

Un NAS sécurisé, c’est un NAS qui n’est pas visible depuis internet. Si vous avez besoin d’un accès distant, c’est un NAS accessible via VPN uniquement, avec 2FA, snapshots immuables, et firmware à jour.

Ces réglages prennent 2-3 heures à configurer. Un ransomware vous coûte vos souvenirs de 10 ans ou 1 500 $ US. Le calcul est simple.

Sequr — Cybersécurité pour particuliers et PME au Québec