IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La nouvelle mise à jour de l'OS du Raspberry Pi supprime l'utilisateur et le mot de passe par défaut
Pour se conformer aux nouvelles lois qui interdisent les identifiants par défaut

Le , par Patrick Ruiz

94PARTAGES

11  0 
La nouvelle mise à jour d'avril du système d'exploitation Raspberry Pi supprime l'utilisateur Pi ainsi que le mot de passe par défaut. Avant cette mise à jour, les informations d'identification par défaut étaient définies comme suit : nom d'utilisateur : pi et mot de passe : raspberry. Désormais, l'installation demandera aux utilisateurs de définir les informations d'identification par défaut. La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets.

« Jusqu'à présent, toutes les installations du système d’exploitation Raspberry Pi avaient un utilisateur par défaut appelé "pi". Ce n'est pas vraiment une faiblesse - le simple fait de connaître un nom d'utilisateur valide n'est pas d'une grande aide si quelqu'un veut pirater votre système ; il devrait également connaître votre mot de passe et vous devriez avoir activé une forme d'accès à distance en premier lieu. Néanmoins, cela pourrait potentiellement faciliter une attaque par force brute, et en réponse à cela, certains pays sont en train d'introduire une législation interdisant à tout appareil connecté à Internet d'avoir des identifiants de connexion par défaut.

Ainsi, avec cette dernière version, l'utilisateur "pi" par défaut est supprimé et à la place vous créerez un utilisateur la première fois que vous démarrez une image de système d’exploitation Raspberry Pi nouvellement flashée. Ceci est en ligne avec la façon dont la plupart des systèmes d'exploitation fonctionnent aujourd'hui, et, bien que cela puisse causer quelques problèmes où le logiciel (et la documentation) suppose l'existence de l'utilisateur "pi", il semble que ce soit un changement judicieux à faire à ce stade »,



La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets. L'un de ces pays est le pays d'origine de la fondation Raspberry Pi, le Royaume-Uni. Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.

Les entreprises qui vendront des produits numériques ne répondant pas aux nouvelles normes de cybersécurité peuvent être interdites et se voir infliger des amendes pouvant aller jusqu'à 10 millions de livres sterling ou 4 % de leur chiffre d'affaires mondial, ainsi que jusqu'à 20 000 livres sterling par jour en cas d'infraction continue.

Le Parlement a été convoqué par le projet de loi sur la sécurité des produits et l'infrastructure des télécommunications (PSTI). Ce projet de loi stipule que le gouvernement a le pouvoir d'interdire les mots de passe par défaut pour les appareils connectés à Internet. La proposition de loi adoptée invite les entreprises qui vendent des appareils à faire preuve de transparence vis-à-vis de leurs clients en leur indiquant les mesures qu'elles prennent pour les protéger des cybercriminels.

Les fabricants d'appareils numériques veillent actuellement à ce que leurs produits ne causent pas de dommages physiques, tels qu'une surchauffe, des composants tranchants ou un choc électrique. Cependant, ils ne prêtent aucune attention aux cyberviolations qui entraînent le vol et la fraude d'informations privées.

La mise à jour de la législation est censée aider le gouvernement à faire en sorte que les consommateurs puissent utiliser leurs appareils de manière efficace et sans craindre d'être attaqués par des cybercriminels.



Les années 2016 et 2017 ont été marquées par une vague mondiale d’attaques au ransomware qui a fait des dégâts impressionnants sur les systèmes connectés. Le malware Mirai, qui pouvait créer des botnets d'objets connectés, utilisait des gateway Sierra Wireless. Ses attaques ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur français OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire. Ensuite, le ransomware WannaCry qui, entre autres actions, avait pris en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale. Le malware Petya/NotPetya avait également été à l’origine des dégâts effrayants.

Ces logiciels malveillants se déployaient sur des dispositifs vulnérables en recherchant sur Internet des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables identifiés sont alors attaqués par ces logiciels malveillants qui les transforment en botnets pour mener des attaques par déni de service.

C’est dans une tentative de faire face aux problèmes de sécurité occasionnés, en partie, par des mots de passe par défaut attribués par les fabricants aux appareils qui se connectent à des réseaux sans fil que l’État de la Californie à initié, depuis l’an 2017, un projet de loi dénommé « Confidentialité des informations : appareils connectés ». Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.

Le projet a été signé, le 28 septembre 2017 par le gouverneur de la Californie, Jerry Brown. Par conséquent, depuis le 1er janvier 2020, tout ce qui peut se connecter à Internet est en principe doté d'un mot de passe unique, s'il est produit ou vendu en Californie.

Les fabricants des périphériques connectés en Californie sont obligés, en vertu de ladite loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois.

La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.

Source : Rpi

Et vous ?

Comment appréciez-vous cette mesure ?

Voir aussi :

Le Royaume-Uni prévoit d'investir 5 milliards de livres sterling dans le renforcement de la cybersécurité nationale, par la création d'une unité "Cyber Force" pour mener des attaques de représailles

Une nouvelle loi du Royaume-Uni va interdire les mots de passe par défaut dans les dispositifs IdO, car les risques pour la sécurité et la vie privée sont trop importants

Le Royaume-Uni annonce le retrait total des équipements de Huawei de son réseau 5G d'ici à 2027, s'alignant ainsi sur la position de Donald Trump sur la Chine

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 08/04/2022 à 15:27
Citation Envoyé par Patrick Ruiz Voir le message

l'utilisateur "pi" par défaut est supprimé et à la place vous créerez un utilisateur la première fois que vous démarrez une image de système d’exploitation Raspberry Pi nouvellement flashée.
L'avantage de l'utilisateur/mdp par défaut était de pouvoir accéder au raspberry sans clavier souris, avec juste le ssh, et ce dés le premier démarrage.
Ce cas d'usage est-il donc impossible dorénavant ? Sera-t-on obliger de connecter au moins une fois un clavier/écran au raspberrry pour le premier démarrage? Peut-être qu'une étape supplémentaire lors du flash de l'OS sera disponible pour créer un utilisateur à l'installation et pas au premier boot?


La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets. L'un de ces pays est le pays d'origine de la fondation Raspberry Pi, le Royaume-Uni. Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.

Les entreprises qui vendront des produits numériques ne répondant pas aux nouvelles normes de cybersécurité peuvent être interdites et se voir infliger des amendes pouvant aller jusqu'à 10 millions de livres sterling ou 4 % de leur chiffre d'affaires mondial, ainsi que jusqu'à 20 000 livres sterling par jour en cas d'infraction continue.
Je suis un grand fan de ces idées. L'idée pour la cybersécurité et également l'idée d'indexer l'amende sur le chiffre d'affaire, qui plus est mondial. Je pense qu'enfin ce genre de sanctions peuvent, sinon faire peur, au moins réfléchir aux géants de la tech.
4  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 11/04/2022 à 10:29
Citation Envoyé par Artemus24 Voir le message

Ce n'est pas ce genre de sanctions qui va empêcher les pirates de trouver une nouvelle faille de sécurité.
Il ne sert à rien de pondre une nouvelle loi si les pirates sont plus malins que les entreprises.
Je comprends ton point de vue sur la sécurité, même si légiférer pour faire appliquer l'état de l'art de la sécurité sur du matériel grand public reste interessant : De cette façon, *uniquement* les pirates plus malins que les entreprises pirateront. les crawlers à botnet à 50$ sur le darknet perdront en interêt ^^

Et même si ce n'était pas clair dans mon message précédent, je généralisait l’intérêt des amendes en pourcentage sur le chiffre d'affaire à tous les sujets, je pense en particulier respect de la vie privée, à l'abus de position dominante, à l'obsolescence programmée et j'aimerais bien lire un peu plus cela aussi pour les fraudes fiscales...
3  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 11/04/2022 à 13:36
Citation Envoyé par Artemus24 Voir le message

Il ne faut pas se tromper de responsable
Je suis d'accord, mais c'est compliqué de faire des lois extraterritoriales contre des hackeurs étrangers. Donc le seul axe de protection de la population, c'est d'augmenter celle-ci.

Citation Envoyé par Artemus24 Voir le message

Autant, je peux comprendre qu'il y a un minimum à fournir aux utilisateurs en terme de sécurité, autant je ne comprends pas les sanctions.
Du coup,si tu es d'accord à fournir un minimum sécurité aux utilisateurs, c'est que tu es d'accord pour forcer les entreprises à le faire non?
Malheureusement, une obligation sans sanction, c'est du vent, et personne ne l'appliquerait.

Citation Envoyé par Artemus24 Voir le message

Je suppose que la cybersécurité va devenir contraignante pour tout le monde.
Il y a l'identité numérique qui commence à se déployer en France.
Bientôt, comme pour nos animaux, nous aurons une puce RFID dans le bras, afin de bien se faire identifier pour accéder à nos ordinateurs.
Certains véhicules sont déjà équipés du test de l'alcoolémie pour le faire démarrer.
Nous aurons des falsifications d'identités et je ne sais quoi d'autres.
Et on final, on dira que toutes ces contraintes sont là notre bien.
Sous le couvert de la piraterie, la loi exige un contrôle total !
Ca me rappelle "big brother is watching you", du livre 1984 de George Orwell.
Oui, en effet. Mais améliorer la sécurité globale des équipements à gauche à droite permet d'éviter de passer de "Big brother is watching you" à "All brothers, all sisters and all distant cousin is watching you".
En résumé, le mieux est l’ennemi du bien et je trouve cette mesure "bien".

Citation Envoyé par Artemus24 Voir le message

Ton point de vue concerne plus la justice social que la cybersécurité.
Toutafé.
3  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 11/04/2022 à 13:57
Citation Envoyé par jvallois Voir le message

Bon, j'ai revérifié mes messages, me demandant si je n'étais pas atteint d'un Alzeimer précoce, et je n'y retrouve pas les citations que tu m'attribues !

Je commence à me demander à quoi tu joues ?
Je ne m'avancerai pas à résoudre le quiproquo quant au point techniques dont vous discutez, mais par contre, les 2 citations qu'il t’attribue sont les miennes et je plaide pour une erreur de manip avec les balises BBCode ^^ Je ne pense donc pas qu'il joue a quoi que ce soit et il n'y faut sans doute voir aucune malice
3  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 11/04/2022 à 14:52
Citation Envoyé par Artemus24 Voir le message

Ces entreprises là ne sont pas spécialisées dans la cybersécurité. Autrement dit, ce n'est pas leur métier.
Et tu leur demandes de résoudre un problème qui ne les concerne pas alors qu'ils existent d'autres solutions sur le marché.
Pour moi, n'importe quel entreprise qui propose un produit connecté a au moins une partie de leur métier qui est "cyber" et sont concernés par la cybersécurité. Et en tant que fournisseur de service connecté, s'il existe des solutions sur le marchés, un fournisseur peut bien faire appel à un partenariat ou une sous traitance pour résoudre un problème de cyber sécurité qui les concerne.

En d'autres terme, même si ce n'est pas leur métier, c'est leur responsabilité et c'est à eux de trouver la compétence nécessaire pour résoudre les problèmes de sécurité.

Citation Envoyé par Artemus24 Voir le message

Tout dépend de la faisabilité de ce minimum de sécurité dont tu parles.
Je n'envisage évidement pas une obligation de résultat, mais une obligation de moyen est nécessaire. Donc dans le cadre de l'obligation de moyen, la faisabilité existe, puisqu'il s'agit de l'état de l'art.

Citation Envoyé par Artemus24 Voir le message

A qui appartient l'internet ? Voilà une bonne question !
C'est le même genre de question concernant les territoires de l'antartique, des zones internationalles, de la surface de la lune ...
Est-ce la loi du plus fort ?
Tu as raison, bonne question, un peu hors sujet, mais bonne question.
Limiter les failles connues sur le matériel utilisé par ta population protège ta population de l'utilisation de faille existantes. C'est en ça que c'est le rôle de l'état : protéger sa population.
ça n'empêche pas de poursuivre les pirates.

Citation Envoyé par Artemus24 Voir le message

Je ne dis pas qu'il faut ne rien faire. Mais qu'il ne faut pas se tromper d'ennemie.
Je reconnais qu'il y a un minimum à mettre en place au niveau de la sécurité pour le tout public.
Mais que celui-ci doit savoir aussi se prendre en charge et ne pas demander à l'état de résoudre des problèmes de sécurités.
On ne peut pas demander à la population de "se prendre en charge" sur des sujets aussi techniques.
Dans une certaine mesure, on peut voire ça comme les normes de sécurité dans les voitures.
Au final, les utilisateurs ne devraient pas rouler au dessus des limites non ? L'état n'aurait jamais du rendre obligatoire les ceintures de sécurité.
On est dans le même cadre : Un constructeur aujourd'hui est obligé d'installer des ceintures, et si le l'utilisateur ne veut pas la mettre, c'est son problème.
Ici, le constructeur d'objet connecté est obligé de ne pas fournir un user/psswd par défaut, et si l'utilisateur veut mettre "user" et "Password123", c'est son problème.

Cela reste de l'infantilisation, j'en convient.
3  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 12/04/2022 à 22:08
Un des grand intéret du Raspberry et des concurents tel que les Ordroid, les pine64 est d'en faire un petit serveur, donc en général sans écran, autonome.

Je me demande comment ils vont faire pour que l'on puisse changer son login/mot de passe. Sauf erreur de ma part, il n'est possible de demander de changer de mot de passe lors de la première connexion en ssh.

Pour ma part, je pense que la meilleur solution aurait été de forcer l'utilisateur à passer par une clef privé comme le fait Debian en ARM. Tu n'as pas la clef, tu ne peux pas te connecter même brute forcant. Il n'y a pas mieux de mon point de vue et c'est très facile à mettre en place.

Citation Envoyé par Artemus24 Voir le message
La meilleur solution reste encore de ne pas être atteignable depuis internet quand on se trouve derrière une box.
Comme les BOX des FAI sont des passoires, il faudra une nouvelle loi pour renforcer la sécurité des routeurs qui ont un paramétrage par défaut.
Je reste persuadé qu'une des meilleurs défenses est de ne pas ouvrir sur les ports classiques mais d'ouvrir un port élevé. La personne aura moins tendance à scanner les ports élevée.
A l'usage, c'est moins agréable pour une utilisation perso, la famille, et 2-3 amis, rajouter par exemple :12432 après son url pour accéder via ce port n'est pas si problématique. Le port classique s'en retrouve protéger par la box
3  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 13/04/2022 à 9:55
Citation Envoyé par jvallois Voir le message
Bref, que quelqu'un prétende avoir fait cela sans avoir jamais eu à créer d'utilisateur me laisse perplexe...
Perso j'utisais la commande mnt pour mounter l'iso direct sur la carte mémoire, sans utliser d'outils graphique externe. je modifiais directement le /etc/network/interface pour mettre mon raspberry PI en DHCP et Ensuite je mettais la carte dans le Pi, le branchais et je me connectais directement en ssh.
3  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 13/04/2022 à 10:53
Citation Envoyé par jvallois Voir le message
Avec la dernière version de l'OS ?
Non, je n'ai pas réessayé avec la dernière version de l'OS (comme implique mon usage de l'imparfait). D'où mes questions initiales en premier commentaire :
Citation Envoyé par AoCannaille Voir le message
L'avantage de l'utilisateur/mdp par défaut était de pouvoir accéder au raspberry sans clavier souris, avec juste le ssh, et ce dés le premier démarrage.
Ce cas d'usage est-il donc impossible dorénavant ? Sera-t-on obliger de connecter au moins une fois un clavier/écran au raspberrry pour le premier démarrage? Peut-être qu'une étape supplémentaire lors du flash de l'OS sera disponible pour créer un utilisateur à l'installation et pas au premier boot?
En particulier la dernière, qui a eu sa réponse : Il s'agit bien d'une étape supplémentaire avec un outils spécifique.
J'ai l'impression que c'est un compromis acceptable.
3  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 13/04/2022 à 13:43
Citation Envoyé par jvallois Voir le message
Je m'en doutais un peu.

Par contre, je ne comprends pas très bien comment tu faisais ?
Autant pour moi, ce n'était pas mnt, mais dd. J'ai suivi un tutoriel de ce type : https://vitux.com/ubuntu-bootable-usb-stick/

avec du coup la ligne la plus importante :
Code : Sélectionner tout
sudo dd bs=4M if=/chemin/vers/iso/image.iso of=/point/de/montage/carte/microsd status=progress oflag=sync
3  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 13/04/2022 à 15:20
Citation Envoyé par jvallois Voir le message
OK, donc c'est ce que j'ai fait, par contre, je me suis connecté directement et non en SSH.
Je vais tester pour voir si c'est possible.

Édition : Essai effectué, et il n'y a pas d'accès SSH possible en se contentant de placer l'image disque sur la carte Micro SSD.
Il faut donc soit utiliser Imager qui permet de régler ces paramètres en flashant l'OS, soit démarrer avec écran, clavier, souris pour le faire au démarrage.
Merci pour la confirmation
3  0