Discussion :

[Sandra Coret]

Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification, les pirates accèdent régulièrement à des serveurs avec les mêmes mots de passe par défaut

Les données de Bulletproof révèlent également que les noms d'utilisateur et les identifiants par défaut des Raspberry Pi figurent en bonne place sur la liste des principales informations d'identification par défaut utilisées par les pirates.

Les recherches menées tout au long de l'année 2021 à l'aide de honeypots montrent que 70 % de l'activité totale du Web est actuellement constituée de trafic de robots. Les hackers déployant de plus en plus de méthodes d'attaque automatisées, les informations d'identification par défaut sont les mots de passe les plus couramment utilisés par ces mauvais acteurs, agissant en fait comme un "passe-partout" pour les accès criminels.

"Sur la liste figurent les informations d'identification par défaut du Raspberry Pi (un:pi/pwd:raspberry). Il y a plus de 200 000 machines sur Internet qui utilisent le système d'exploitation standard Raspberry Pi, ce qui en fait une cible raisonnable pour les mauvais acteurs. Nous pouvons également voir ce qui ressemble à des informations d'identification utilisées sur des machines Linux (un:nproc/pwd:nproc). Cela met en évidence un problème essentiel : les informations d'identification par défaut ne sont toujours pas modifiées", déclare Brian Wagner, directeur de la technologie chez Bulletproof. L'utilisation d'informations d'identification par défaut constitue l'un des points d'entrée les plus faciles pour les attaquants et sert de "passe-partout" pour de multiples piratages. L'utilisation d'informations d'identification légitimes peut permettre aux pirates d'éviter la détection et rend l'enquête et la surveillance des attaques beaucoup plus difficiles."

Un quart des mots de passe encore utilisés par les attaquants aujourd'hui proviennent de la fuite de la base de données RockYou de décembre 2009. Ces mots de passe restent viables, les testeurs de pénétration de Bulletproof tentent également d'utiliser ces mots de passe lors des tests, car ils ont toujours un taux de réussite élevé.

"Dans les millisecondes qui suivent la mise en ligne d'un serveur sur Internet, celui-ci est déjà scanné par toutes sortes d'entités. Des botnets le ciblent et une foule de trafic malveillant est alors acheminé vers le serveur", ajoute M. Wagner. "Bien que certaines de nos données montrent que des sociétés de recherche légitimes scannent l'internet, la plus grande partie du trafic que nous avons rencontré vers notre pot de miel provenait d'acteurs de la menace et d'hôtes compromis."

Source : Bulletproof

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

La NASA piratée à cause d'un Raspberry Pi non autorisé connecté à son réseau, selon un rapport

Le nombre d'infections par des logiciels malveillants ciblant les appareils Linux a augmenté de 35 % en 2021, XorDDoS, Mirai et Mozi étaient les plus répandues, représentant 22 % des attaques

Les logiciels malveillants ciblant les systèmes d'exploitation basés sur Linux augmentent à la fois en volume et en complexité, dans un contexte d'évolution rapide du paysage des menaces

[JPLAROCHE]

Depuis un certain temps, on voit des attaques en règle sur Linux comme quoi Linux est une vraie passoire ????? de beau titre ronflant (très fort) ahhhhaaaahhhh ( pour le censeur, on peut quand même émettre un doute sur le bien fondé de cet article sinon il n'y a pas de discutions possible et avoir un peu d'humour)


je touche une machine préinstaller, je ne la connecte pas , je commence par lui changer le mot de passe admin etc... à mettre certaine règle en place ...

les machines Linux :
Dans les entreprises une machine dédier qui fait office de proxy, une deuxième machine qui fait office de serveur auquel le filtrage est claqué en dur, quant au web avec la sécurité offert par apache par exemple et permettant d'avoir un web très filtré, a cela on peut ajouter une boite noire intermédiaire…

Je ne comprends pas les accusations sur Linux. Ah peut-être a-t-on voulu dire que l'on a une corruption par un admin qui a reçu un pti billet mais ça pas besoin d'avoir un Linux ou Windows, c'est imparable.

Maintenant que Raspberry soit pirater parce que c'est un system monté à la main et permet d'apprendre etc... je veux bien que cela ne soit pas tout à fait sécurisé. Mais il ne faudrait pas quand même faire de la parano... Et encore, si je mets un Raspberry au cul d'une machine à l'usine, ce n'est pas pour le mettre en réseau, n'y avec un accès lambda.

Si c'est pour s'amuser soit, mais professionnellement je ne suis pas d'accords.

[Invité]

L'info de la news, c'est juste que les mots de passe par défaut de l'OS Linux préinstallé sur Raspberry Pi est dans la liste des identifiants utilisés en pentest et par de attaquants plus hostiles lors d'attaques en brute force. En soit, rien de particulier à dire sur cela (je dirais simplement que c'est logique dans le sens où la plateforme est populaire). Pour le reste, ce sont des généralités qui ont plus à voir avec les pratiques des utilisateurs.

[walfrat]

Dans les entreprises une machine dédier qui fait office de proxy, une deuxième machine qui fait office de serveur auquel le filtrage est claqué en dur, quant au web avec la sécurité offert par apache par exemple et permettant d'avoir un web très filtré, a cela on peut ajouter une boite noire intermédiaire…

Je ne comprends pas les accusations sur Linux. Ah peut-être a-t-on voulu dire que l'on a une corruption par un admin qui a reçu un pti billet mais ça pas besoin d'avoir un Linux ou Windows, c'est imparable.

Maintenant que Raspberry soit pirater parce que c'est un system monté à la main et permet d'apprendre etc... je veux bien que cela ne soit pas tout à fait sécurisé. Mais il ne faudrait pas quand même faire de la parano... Et encore, si je mets un Raspberry au cul d'une machine à l'usine, ce n'est pas pour le mettre en réseau, n'y avec un accès lambda.

Si c'est pour s'amuser soit, mais professionnellement je ne suis pas d'accords.

Ce n'est que la répétition de la même histoire, les phpmyadmin en ligne, les elasticsearch, les boxs, les caméra en ligne. Ca changera pas tant que les personnes qui font ça ne seront pas tenus pour responsables.

Même mon école d'ingé avait une moulinette de mdp qui nous envoyait un mail si elle arrivait à nous le cracker.

[daerlnaxe]

Mais est ce que l'utilisateur d'une telle machine en aura réellement quelque chose à faire d'un hack s'il se borne à en avoir un usage basé sur du rétrogaming ? Ca expliquerait aussi pourquoi les mdp sont simples voire comme expliqué même pas changés. Pareil pour le mec qui va installer batocera sur une vieille machine. Ce que je veux dire c'est que la responsabilité du coup n'est pas la même.

Pour les serveurs par contre, là...

Edit:
C'est peut être pas le lieu mais ça me fait penser à un autre point au niveau de l'éducation nationale... C'est peut être lié qu'à ma région. La petite obtient une tablette, on lui file un mdp à deux balles.. parallèlement à ça on a un compte pour recevoir la carte collège donc avec aussi de l'argent dessus il me semble, en tout cas des données sensibles. Je me rends compte que mon mot de passe a été changé et colle avec celui de la tablette, je change mon mot de passe, seulement le PC du COLLEGE en technologie utilise le MEME mot de passe.... !! Ce qui rend dingue la prof de techno qui me change.. MON mot de passe... !! J'ai fini par devoir former la pitchounette à retenir le mot de passe par coeur (et il est pas moche). Personnellement ça m'a fait halluciner de voir tout ça couplé, avec des traces, certains gamins vont rentrer leur mdp devant tout le monde, ou le stocker sur le pc du collège etc etc... Le mec qui veut se faire un peu plaisir et qui taquine un minimum a champ libre.

A mon sens une gestion du compte avec dedans des accès dédiés, un pour la tablette, un pour la connexion par le pc du collège ça aurait été de loin plus intelligent. On est en 2022 peut être que je suis paranoïaque mais j'ai l'impression d'une gestion digne des années 90.

[JPLAROCHE]

A mon sens une gestion du compte avec dedans des accès dédiés, un pour la tablette, un pour la connexion par le pc du collège ça aurait été de loin plus intelligent. On est en 2022 peut être que je suis paranoïaque mais j'ai l'impression d'une gestion digne des années 90.

d'accords avec toi, quant aux années 90 je t'assure que l'on ne prenait pas à la légère la sécurité.

[daerlnaxe]

d'accords avec toi, quant aux années 90 je t'assure que l'on ne prenait pas à la légère la sécurité.

Je me suis mal exprimé, je parlais de l'approche que j'ai pu voir dans certaines administrations qui déjà ne forçaient pas des masses. Pas au sens général.

[Steinvikel]

Qu'en pensez-vous ?

si je devais résumer l'article, ce serait ainsi:
(...) "Les machines Linux et Raspberry Pi deviennent des cibles privilégiées pour le piratage des données d'identification"
(...) "les noms d'utilisateur et les identifiants par défaut des Raspberry Pi figurent en bonne place sur la liste des principales informations d'identification par défaut utilisées par les pirates."
(...) "Les recherches menées tout au long de l'année 2021 à l'aide de honeypots montrent que 70 % de l'activité totale du Web est actuellement constituée de trafic de robots."
(...) "la plus grande partie du trafic que nous avons rencontré vers notre pot de miel provenait d'acteurs de la menace et d'hôtes compromis"
(...) "les informations d'identification par défaut sont les mots de passe les plus couramment utilisés par ces mauvais acteurs" (les pirates)
(...) "200 000 machines sur Internet utilisent le système d'exploitation standard Raspberry Pi, ce qui en fait une cible raisonnable pour les mauvais acteurs."
(...) "L'utilisation d'informations d'identification par défaut constitue l'un des points d'entrée les plus faciles pour les attaquants et sert de passe-partout"
(...) et "peut permettre aux pirates d'éviter la détection et rend l'enquête et la surveillance des attaques beaucoup plus difficiles"

La plus grande interrogation se situe, comme toujours, sur la méthode employée pour arriver à cette conclusion.
> quel type de pot de miel à été employé, et dans quel environnement ?
> quels ont été les mesures, et suivant quel protocole ?
en fonction de la réponse, on peut y trouver la même interprétation ou son contraire.

Point intéressant à rappeler pour sensibiliser >> "Dans les millisecondes qui suivent la mise en ligne d'un serveur sur Internet, celui-ci est déjà scanné par toutes sortes d'entités."

Debian peut être très sécurisé, mais a fait le choix d'être "user friendly" "out of the box" sans permettre un choix éclairé.
L'installateur te demande quel système de fichier tu souhaites utiliser, mais pas si tu souhaites une sécurité renforcée sur tel ou tel aspect de ta distro... ça m'a toujours surpris.
Windows aussi peut être sécurisé... même contre l'espionnage de M$ ...simplement comme Debian, il est "user friendly" "out of the box", en plus de toutes ses dérives lié à son modèle économique.

"Les machines Linux et Raspberry Pi deviennent des cibles privilégiées"
>> l'article et la source ne le prouvent aucunement. Ils on utilisé un pot de miel (une grappe de pots) pour un ciblage spécifique, il en est resorti une réponse d'attaque qui ciblais plus particulièrement les Rpi, c'est tout. Le reste n'est que spéculation sur interprétation.

en revanche la croissance à l'automatisation, l'accélération de la réactivité, et l'augmentation du nombre d'attaque à la seconde, sont des mesures indicatives plutôt instructive peu importe le contexte.


j'ai croisé des entreprises qui utilisent des Rpi pour y placer des outils de supervision tel que Centreon (community edition), j'ose espérer que ces gars là ont eût la décence d'y faire un minimum de modifications systèmes.