La nouvelle mise à jour d'avril du système d'exploitation Raspberry Pi supprime l'utilisateur Pi ainsi que le mot de passe par défaut. Avant cette mise à jour, les informations d'identification par défaut étaient définies comme suit : nom d'utilisateur : pi et mot de passe : raspberry. Désormais, l'installation demandera aux utilisateurs de définir les informations d'identification par défaut. La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets.
« Jusqu'à présent, toutes les installations du système d’exploitation Raspberry Pi avaient un utilisateur par défaut appelé "pi". Ce n'est pas vraiment une faiblesse - le simple fait de connaître un nom d'utilisateur valide n'est pas d'une grande aide si quelqu'un veut pirater votre système ; il devrait également connaître votre mot de passe et vous devriez avoir activé une forme d'accès à distance en premier lieu. Néanmoins, cela pourrait potentiellement faciliter une attaque par force brute, et en réponse à cela, certains pays sont en train d'introduire une législation interdisant à tout appareil connecté à Internet d'avoir des identifiants de connexion par défaut.
Ainsi, avec cette dernière version, l'utilisateur "pi" par défaut est supprimé et à la place vous créerez un utilisateur la première fois que vous démarrez une image de système d’exploitation Raspberry Pi nouvellement flashée. Ceci est en ligne avec la façon dont la plupart des systèmes d'exploitation fonctionnent aujourd'hui, et, bien que cela puisse causer quelques problèmes où le logiciel (et la documentation) suppose l'existence de l'utilisateur "pi", il semble que ce soit un changement judicieux à faire à ce stade »,
La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets. L'un de ces pays est le pays d'origine de la fondation Raspberry Pi, le Royaume-Uni. Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.
Les entreprises qui vendront des produits numériques ne répondant pas aux nouvelles normes de cybersécurité peuvent être interdites et se voir infliger des amendes pouvant aller jusqu'à 10 millions de livres sterling ou 4 % de leur chiffre d'affaires mondial, ainsi que jusqu'à 20 000 livres sterling par jour en cas d'infraction continue.
Le Parlement a été convoqué par le projet de loi sur la sécurité des produits et l'infrastructure des télécommunications (PSTI). Ce projet de loi stipule que le gouvernement a le pouvoir d'interdire les mots de passe par défaut pour les appareils connectés à Internet. La proposition de loi adoptée invite les entreprises qui vendent des appareils à faire preuve de transparence vis-à-vis de leurs clients en leur indiquant les mesures qu'elles prennent pour les protéger des cybercriminels.
Les fabricants d'appareils numériques veillent actuellement à ce que leurs produits ne causent pas de dommages physiques, tels qu'une surchauffe, des composants tranchants ou un choc électrique. Cependant, ils ne prêtent aucune attention aux cyberviolations qui entraînent le vol et la fraude d'informations privées.
La mise à jour de la législation est censée aider le gouvernement à faire en sorte que les consommateurs puissent utiliser leurs appareils de manière efficace et sans craindre d'être attaqués par des cybercriminels.
Les années 2016 et 2017 ont été marquées par une vague mondiale d’attaques au ransomware qui a fait des dégâts impressionnants sur les systèmes connectés. Le malware Mirai, qui pouvait créer des botnets d'objets connectés, utilisait des gateway Sierra Wireless. Ses attaques ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur français OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire. Ensuite, le ransomware WannaCry qui, entre autres actions, avait pris en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale. Le malware Petya/NotPetya avait également été à l’origine des dégâts effrayants.
Ces logiciels malveillants se déployaient sur des dispositifs vulnérables en recherchant sur Internet des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables identifiés sont alors attaqués par ces logiciels malveillants qui les transforment en botnets pour mener des attaques par déni de service.
C’est dans une tentative de faire face aux problèmes de sécurité occasionnés, en partie, par des mots de passe par défaut attribués par les fabricants aux appareils qui se connectent à des réseaux sans fil que l’État de la Californie à initié, depuis l’an 2017, un projet de loi dénommé « Confidentialité des informations : appareils connectés ». Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.
Le projet a été signé, le 28 septembre 2017 par le gouverneur de la Californie, Jerry Brown. Par conséquent, depuis le 1er janvier 2020, tout ce qui peut se connecter à Internet est en principe doté d'un mot de passe unique, s'il est produit ou vendu en Californie.
Les fabricants des périphériques connectés en Californie sont obligés, en vertu de ladite loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois.
La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.
Source : Rpi
Et vous ?
Comment appréciez-vous cette mesure ?
Voir aussi :
Le Royaume-Uni prévoit d'investir 5 milliards de livres sterling dans le renforcement de la cybersécurité nationale, par la création d'une unité "Cyber Force" pour mener des attaques de représailles
Une nouvelle loi du Royaume-Uni va interdire les mots de passe par défaut dans les dispositifs IdO, car les risques pour la sécurité et la vie privée sont trop importants
Le Royaume-Uni annonce le retrait total des équipements de Huawei de son réseau 5G d'ici à 2027, s'alignant ainsi sur la position de Donald Trump sur la Chine
La nouvelle mise à jour de l'OS du Raspberry Pi supprime l'utilisateur et le mot de passe par défaut
Pour se conformer aux nouvelles lois qui interdisent les identifiants par défaut
La nouvelle mise à jour de l'OS du Raspberry Pi supprime l'utilisateur et le mot de passe par défaut
Pour se conformer aux nouvelles lois qui interdisent les identifiants par défaut
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !