Discussion :

[Patrick Ruiz]

La nouvelle mise à jour de l'OS du Raspberry Pi supprime l’utilisateur et le mot de passe par défaut
Pour se conformer aux nouvelles lois qui interdisent les identifiants par défaut

La nouvelle mise à jour d'avril du système d'exploitation Raspberry Pi supprime l'utilisateur Pi ainsi que le mot de passe par défaut. Avant cette mise à jour, les informations d'identification par défaut étaient définies comme suit : nom d'utilisateur : pi et mot de passe : raspberry. Désormais, l'installation demandera aux utilisateurs de définir les informations d'identification par défaut. La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets.

« Jusqu'à présent, toutes les installations du système d’exploitation Raspberry Pi avaient un utilisateur par défaut appelé "pi". Ce n'est pas vraiment une faiblesse - le simple fait de connaître un nom d'utilisateur valide n'est pas d'une grande aide si quelqu'un veut pirater votre système ; il devrait également connaître votre mot de passe et vous devriez avoir activé une forme d'accès à distance en premier lieu. Néanmoins, cela pourrait potentiellement faciliter une attaque par force brute, et en réponse à cela, certains pays sont en train d'introduire une législation interdisant à tout appareil connecté à Internet d'avoir des identifiants de connexion par défaut.

Ainsi, avec cette dernière version, l'utilisateur "pi" par défaut est supprimé et à la place vous créerez un utilisateur la première fois que vous démarrez une image de système d’exploitation Raspberry Pi nouvellement flashée. Ceci est en ligne avec la façon dont la plupart des systèmes d'exploitation fonctionnent aujourd'hui, et, bien que cela puisse causer quelques problèmes où le logiciel (et la documentation) suppose l'existence de l'utilisateur "pi", il semble que ce soit un changement judicieux à faire à ce stade »,

La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets. L'un de ces pays est le pays d'origine de la fondation Raspberry Pi, le Royaume-Uni. Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.

Les entreprises qui vendront des produits numériques ne répondant pas aux nouvelles normes de cybersécurité peuvent être interdites et se voir infliger des amendes pouvant aller jusqu'à 10 millions de livres sterling ou 4 % de leur chiffre d'affaires mondial, ainsi que jusqu'à 20 000 livres sterling par jour en cas d'infraction continue.

Le Parlement a été convoqué par le projet de loi sur la sécurité des produits et l'infrastructure des télécommunications (PSTI). Ce projet de loi stipule que le gouvernement a le pouvoir d'interdire les mots de passe par défaut pour les appareils connectés à Internet. La proposition de loi adoptée invite les entreprises qui vendent des appareils à faire preuve de transparence vis-à-vis de leurs clients en leur indiquant les mesures qu'elles prennent pour les protéger des cybercriminels.

Les fabricants d'appareils numériques veillent actuellement à ce que leurs produits ne causent pas de dommages physiques, tels qu'une surchauffe, des composants tranchants ou un choc électrique. Cependant, ils ne prêtent aucune attention aux cyberviolations qui entraînent le vol et la fraude d'informations privées.

La mise à jour de la législation est censée aider le gouvernement à faire en sorte que les consommateurs puissent utiliser leurs appareils de manière efficace et sans craindre d'être attaqués par des cybercriminels.

Les années 2016 et 2017 ont été marquées par une vague mondiale d’attaques au ransomware qui a fait des dégâts impressionnants sur les systèmes connectés. Le malware Mirai, qui pouvait créer des botnets d'objets connectés, utilisait des gateway Sierra Wireless. Ses attaques ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur français OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire. Ensuite, le ransomware WannaCry qui, entre autres actions, avait pris en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale. Le malware Petya/NotPetya avait également été à l’origine des dégâts effrayants.

Ces logiciels malveillants se déployaient sur des dispositifs vulnérables en recherchant sur Internet des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables identifiés sont alors attaqués par ces logiciels malveillants qui les transforment en botnets pour mener des attaques par déni de service.

C’est dans une tentative de faire face aux problèmes de sécurité occasionnés, en partie, par des mots de passe par défaut attribués par les fabricants aux appareils qui se connectent à des réseaux sans fil que l’État de la Californie à initié, depuis l’an 2017, un projet de loi dénommé « Confidentialité des informations : appareils connectés ». Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.

Le projet a été signé, le 28 septembre 2017 par le gouverneur de la Californie, Jerry Brown. Par conséquent, depuis le 1er janvier 2020, tout ce qui peut se connecter à Internet est en principe doté d'un mot de passe unique, s'il est produit ou vendu en Californie.

Les fabricants des périphériques connectés en Californie sont obligés, en vertu de ladite loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois.

La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.

Source : Rpi

Et vous ?

Comment appréciez-vous cette mesure ?

Voir aussi :

Le Royaume-Uni prévoit d'investir 5 milliards de livres sterling dans le renforcement de la cybersécurité nationale, par la création d'une unité "Cyber Force" pour mener des attaques de représailles

Une nouvelle loi du Royaume-Uni va interdire les mots de passe par défaut dans les dispositifs IdO, car les risques pour la sécurité et la vie privée sont trop importants

Le Royaume-Uni annonce le retrait total des équipements de Huawei de son réseau 5G d'ici à 2027, s'alignant ainsi sur la position de Donald Trump sur la Chine

[AoCannaille]

l'utilisateur "pi" par défaut est supprimé et à la place vous créerez un utilisateur la première fois que vous démarrez une image de système d’exploitation Raspberry Pi nouvellement flashée.

L'avantage de l'utilisateur/mdp par défaut était de pouvoir accéder au raspberry sans clavier souris, avec juste le ssh, et ce dés le premier démarrage.
Ce cas d'usage est-il donc impossible dorénavant ? Sera-t-on obliger de connecter au moins une fois un clavier/écran au raspberrry pour le premier démarrage? Peut-être qu'une étape supplémentaire lors du flash de l'OS sera disponible pour créer un utilisateur à l'installation et pas au premier boot?

La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets. L'un de ces pays est le pays d'origine de la fondation Raspberry Pi, le Royaume-Uni. Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.

Les entreprises qui vendront des produits numériques ne répondant pas aux nouvelles normes de cybersécurité peuvent être interdites et se voir infliger des amendes pouvant aller jusqu'à 10 millions de livres sterling ou 4 % de leur chiffre d'affaires mondial, ainsi que jusqu'à 20 000 livres sterling par jour en cas d'infraction continue.

Je suis un grand fan de ces idées. L'idée pour la cybersécurité et également l'idée d'indexer l'amende sur le chiffre d'affaire, qui plus est mondial. Je pense qu'enfin ce genre de sanctions peuvent, sinon faire peur, au moins réfléchir aux géants de la tech.

[jvallois]

L'avantage de l'utilisateur/mdp par défaut était de pouvoir accéder au raspberry sans clavier souris, avec juste le ssh, et ce dés le premier démarrage.
Ce cas d'usage est-il donc impossible dorénavant ? Sera-t-on obliger de connecter au moins une fois un clavier/écran au raspberrry pour le premier démarrage? Peut-être qu'une étape supplémentaire lors du flash de l'OS sera disponible pour créer un utilisateur à l'installation et pas au premier boot?

C'est bon, ils y ont pensé. La dernière version d'Imager permet de créer un utilisateur et même de gérer le wifi et la localisation au flashage de l'OS.

[Artemus24]

Salut à tous.

Néanmoins, cela pourrait potentiellement faciliter une attaque par force brute, ...

Cela n'a aucun intérêt de procéder ainsi sur un IOT.
Une attaque brute se fait sur plusieurs semaines, voire plusieurs mois pour découvrir un mot de passe à la condition que celui-ci soit long et compliqué.

... et en réponse à cela, certains pays sont en train d'introduire une législation interdisant à tout appareil connecté à Internet d'avoir des identifiants de connexion par défaut.

Un user et password par défaut, c'est la solution de facilité pour s'introduire dans votre IOT.
Donc oui, il est nécessaire au moins de changer son mot de passe, sinon le user.

La meilleur solution reste encore de ne pas être atteignable depuis internet quand on se trouve derrière une box.
Comme les BOX des FAI sont des passoires, il faudra une nouvelle loi pour renforcer la sécurité des routeurs qui ont un paramétrage par défaut.
Il existe des solutions pour être facilement identifiable et ne pas se faire pirater.
Sauf que cela n'est pas à la portée de tous les utilisateurs lambda.

Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.

Il faudra m'expliquer comment empêcher un pirate de s'attaquer aux matériels informatiques.
Le mieux serait de faire une loi applicable dans tous les pays contre la piraterie.
Et de les punir en fonction de la gravité du délit commis.

La proposition de loi adoptée invite les entreprises qui vendent des appareils à faire preuve de transparence vis-à-vis de leurs clients en leur indiquant les mesures qu'elles prennent pour les protéger des cybercriminels.

Et quand la dite entreprise vient de se faire attaquer, est-elle en mesure de donner de bons conseils à leur client ?
La cybersécurité est un métier ! Un revendeur informatique n'a pour la plupart du temps aucune compétence en ce domaine.

S'il s'agit juste de changer les valeurs par défaut de son user & password, ce n'est pas à proprement parlé de la cybersécurité, juste du bon sens.

Cependant, ils ne prêtent aucune attention aux cyberviolations qui entraînent le vol et la fraude d'informations privées.

Ce n'est pas leur métier !

La mise à jour de la législation est censée aider le gouvernement à faire en sorte que les consommateurs puissent utiliser leurs appareils de manière efficace et sans craindre d'être attaqués par des cybercriminels.

Que dois-je comprendre ?
Qu'un utilisateur qui n'y connait rien en informatique, peut se retourner contre son vendeur s'il a subit une attaque ???
Qui a la responsabilité de la mise en œuvre de la cybersécurité ?

Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.

Pour un ordinateur, je peux comprendre. Mais à ma connaissance, on ne demande pas à une imprimante son user et son password.

Les fabricants des périphériques connectés en Californie sont obligés, en vertu de ladite loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois.

Comme sur les BOX, on colle une étiquette avec le SSID et le mot de passe long d'une vingtaine de caractères.
D'ailleurs, qui change le mot de passe de sa BOX ? Pas moi.

La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.

On ne prend pas le contrôle d'un routeur depuis internet. Celui-ci n'est accessible qu'en local.
La vulnérabilité concerne le grand publique. Encore que, il y a des entreprises qui n'y connaissent rien en cybersécurité.
La plupart des ransonware ont été efficaces dans les petites entreprises où ils n'y avaient aucune sécurité.

La prochaine attaque des pirates va concerner la faille de sécurité des VPN depuis que l'état autorise le télétravail.

L'avantage de l'utilisateur/mdp par défaut était de pouvoir accéder au raspberry sans clavier souris, avec juste le ssh, et ce dés le premier démarrage.

La demande qui a été mis en place concerne le changement du user et du mot de passe lors de l'installation du Raspberry Pi OS sur une carte micro SD ou un disque SSD.

Le premier accès en SSH en headless se fera comme d'habitude, car l'installation aura été faite.
Il faut juste se souvenir du user & password que l'on aura mis.

Je pense qu'enfin ce genre de sanctions peuvent, sinon faire peur, au moins réfléchir aux géants de la tech.

Ce n'est pas ce genre de sanctions qui va empêcher les pirates de trouver une nouvelle faille de sécurité.
Il ne sert à rien de pondre une nouvelle loi si les pirates sont plus malins que les entreprises.

C'est bon, ils y ont pensé. La dernière version d'Imager permet de créer un utilisateur et même de gérer le wifi et la localisation au flashage de l'OS.

Je ne l'ai pas encore utilisé pour effectuer une nouvelle installation.
Inversement, j'ai téléchargé la nouvelle Raspberry Pi OS Bullseye dans une partition vide de mon disque SSD.
Ensuite, j'ai procédé à son déploiement dans les partitions "/boot" & "/rootfs".
Il faudra m'explique où va se faire cette demande de changement du password & user ?

Cordialement.
Artemus24.
@+

[jvallois]

Je ne l'ai pas encore utilisé pour effectuer une nouvelle installation.
Inversement, j'ai téléchargé la nouvelle Raspberry Pi OS Bullseye dans une partition vide de mon disque SSD.
Ensuite, j'ai procédé à son déploiement dans les partitions "/boot" & "/rootfs".
Il faudra m'explique où va se faire cette demande de changement du password & user ?

Le plus simple est certainement de mettre en route et de voir ce qui se passe.
Vous nous raconterez ?

[Artemus24]

Bonjour votre majesté jvallois !

Avez-vous une relation avec Pierre Dujols ou son frère Antoine Dujols de Valois ?
Je constate que vous écrivez votre nom avec deux L.

Vous nous raconterez ?

Je ne vais pas recommencer la procédure qui est assez longue à faire.
Ni réinstaller les applications que j'utilise.

Cordialement.
Artemus24.
@+

[jvallois]

Bonjour votre majesté jvallois !

Avez-vous une relation avec Pierre Dujols ou son frère Antoine Dujols de Valois ?
Je constate que vous écrivez votre nom avec deux L.

Désolé de vous recevoir, mais je suis bel et bien un simple roturier.
Contrairement aux anciens seigneurs des terres du Valois, en région parisienne, les Vallois ou Levallois ont simplement eu un ancêtre en rapport avec une vallée.

Je ne vais pas recommencer la procédure qui est assez longue à faire.
Ni réinstaller les applications que j'utilise.

Dois-je comprendre que votre mise en place a tout simplement repris les paramètres de l'installation précédente ?

C'est justement cela qu'il était intéressant de préciser.

[Artemus24]

Salut Jvallois.

Dois-je comprendre que votre mise en place a tout simplement repris les paramètres de l'installation précédente ?

Non pas du tout.
Tout ce qui était présent dans les partitions "/boot" et "/rootfs" a été écrasé.
Je suis passé de la version Buster à la version Bullseye.

Pourquoi ai-je procédé par téléchargement de l'image de Raspberry Pi OS version Bullseye au lieu d'utiliser Imager ?
Imager écrase en totalité ce qui existe sur un disque SSD.
Or j'ai d'autres partitions sur ce disque SSD que je ne veux pas perdre.
J'avais la solution de passer par une carte micro SD puis ensuite recopier chaque partition.
Sauf que je n'en avais pas de disponible à ce moment là.

A partir du moment où l'image a été déployé, je dispose en principe des user "root" et "pi.
Il n'y a aucune demande de changer quoi que ce soit car cela est fait dans Imager, pas dans Raspbian.

Donc oui, je me pose la question du changement des users & password par défaut par ce type de déploiements.

Cordialement.
Artemus24.
@+

[jvallois]

Bonjour,

Pour rappel, j'avais écris :
« Dois-je comprendre que votre mise en place a tout simplement repris les paramètres de l'installation précédente ? »

Vous me répondez :

Non pas du tout.

Je dois donc en déduire que vous n'avez pas retrouvé les identifiants précédents.

Mais vous indiquez ensuite :

A partir du moment où l'image a été déployé, je dispose en principe des user "root" et "pi.
Il n'y a aucune demande de changer quoi que ce soit car cela est fait dans Imager, pas dans Raspbian.

Alors je ne comprend plus rien.

Votre manière de fairer garde-t-elle, oui ou non, les identifiants de l'ancienne installation ?

[AoCannaille]

Ce n'est pas ce genre de sanctions qui va empêcher les pirates de trouver une nouvelle faille de sécurité.
Il ne sert à rien de pondre une nouvelle loi si les pirates sont plus malins que les entreprises.

Je comprends ton point de vue sur la sécurité, même si légiférer pour faire appliquer l'état de l'art de la sécurité sur du matériel grand public reste interessant : De cette façon, *uniquement* les pirates plus malins que les entreprises pirateront. les crawlers à botnet à 50$ sur le darknet perdront en interêt ^^

Et même si ce n'était pas clair dans mon message précédent, je généralisait l’intérêt des amendes en pourcentage sur le chiffre d'affaire à tous les sujets, je pense en particulier respect de la vie privée, à l'abus de position dominante, à l'obsolescence programmée et j'aimerais bien lire un peu plus cela aussi pour les fraudes fiscales...

[Artemus24]

Salut à tous.

Votre manière de faire garde-t-elle, oui ou non, les identifiants de l'ancienne installation ?

Non, je ne garde pas les identifiants de l'ancienne installation.
Je les garderai où puisque j'écrase le contenu de mes partitions.

Je comprends ton point de vue sur la sécurité, ...

Il ne faut pas se tromper de responsable.

Plus les pirates agissent et plus les entreprises son contraintes d'augmenter le niveau de sécurité.
Si les entreprises ne respectent pas la loi, ils sont punis alors que les pirates ne sont même pas sanctionnés.
Les entreprises ne sont pas complices des pirates, juste des victimes.
Les entreprises ne sont pas, non plus, responsable de la mise en œuvre de la sécurité du coté de l'utilisateur.

Autant, je peux comprendre qu'il y a un minimum à fournir aux utilisateurs en terme de sécurité, autant je ne comprends pas les sanctions.
Ne pas avoir de user & password par défaut est une bonne chose.
Mais par la suite, que va-t-on demander aux entreprises .

Je trouve que c'est une connerie d'avoir installé le TPM 2.0, tout ça, à cause des ransonwares.

même si légiférer pour faire appliquer l'état de l'art de la sécurité sur du matériel grand public reste interessant : De cette façon, *uniquement* les pirates plus malins que les entreprises pirateront.

Le but est de faire diminuer la piraterie à travers le monde. De ce point de vue, je suis d'accord !
Tout comme améliorer la sécurité des ordinateurs est une bonne chose.
Mais s'attaquer aux entreprises n'est pas la bonne façon de faire.
A moins que la loi trouve que les entreprises mettent trop de temps pour appliquer cette cybersécurité qu'elle demande.

Je suppose que la cybersécurité va devenir contraignante pour tout le monde.
Il y a l'identité numérique qui commence à se déployer en France.
Bientôt, comme pour nos animaux, nous aurons une puce RFID dans le bras, afin de bien se faire identifier pour accéder à nos ordinateurs.
Certains véhicules sont déjà équipés du test de l'alcoolémie pour le faire démarrer.
Nous aurons des falsifications d'identités et je ne sais quoi d'autres.
Et on final, on dira que toutes ces contraintes sont là notre bien.
Sous le couvert de la piraterie, la loi exige un contrôle total !
Ca me rappelle "big brother is watching you", du livre 1984 de George Orwell.

je pense en particulier respect de la vie privée, à l'abus de position dominante, à l'obsolescence programmée et j'aimerais bien lire un peu plus cela aussi pour les fraudes fiscales...

Ton point de vue concerne plus la justice social que la cybersécurité.

Cordialement.
Artemus24.
@+

[AoCannaille]

Il ne faut pas se tromper de responsable

Je suis d'accord, mais c'est compliqué de faire des lois extraterritoriales contre des hackeurs étrangers. Donc le seul axe de protection de la population, c'est d'augmenter celle-ci.

Autant, je peux comprendre qu'il y a un minimum à fournir aux utilisateurs en terme de sécurité, autant je ne comprends pas les sanctions.

Du coup,si tu es d'accord à fournir un minimum sécurité aux utilisateurs, c'est que tu es d'accord pour forcer les entreprises à le faire non?
Malheureusement, une obligation sans sanction, c'est du vent, et personne ne l'appliquerait.

Je suppose que la cybersécurité va devenir contraignante pour tout le monde.
Il y a l'identité numérique qui commence à se déployer en France.
Bientôt, comme pour nos animaux, nous aurons une puce RFID dans le bras, afin de bien se faire identifier pour accéder à nos ordinateurs.
Certains véhicules sont déjà équipés du test de l'alcoolémie pour le faire démarrer.
Nous aurons des falsifications d'identités et je ne sais quoi d'autres.
Et on final, on dira que toutes ces contraintes sont là notre bien.
Sous le couvert de la piraterie, la loi exige un contrôle total !
Ca me rappelle "big brother is watching you", du livre 1984 de George Orwell.

Oui, en effet. Mais améliorer la sécurité globale des équipements à gauche à droite permet d'éviter de passer de "Big brother is watching you" à "All brothers, all sisters and all distant cousin is watching you".
En résumé, le mieux est l’ennemi du bien et je trouve cette mesure "bien".

Ton point de vue concerne plus la justice social que la cybersécurité.

Toutafé.

[jvallois]

Bon, je n'y comprend rien !

Je vais essayer de résumer : Tu as fait une nouvelle installation et, au démarrage, tu n'as retrouvé que les utilisateur "pi" et "root" habituels, c'est bien ça ?




Bon, j'ai revérifié mes messages, me demandant si je n'étais pas atteint d'un Alzeimer précoce, et je n'y retrouve pas les citations que tu m'attribues !

Je commence à me demander à quoi tu joues ?

[AoCannaille]

Bon, j'ai revérifié mes messages, me demandant si je n'étais pas atteint d'un Alzeimer précoce, et je n'y retrouve pas les citations que tu m'attribues !

Je commence à me demander à quoi tu joues ?

Je ne m'avancerai pas à résoudre le quiproquo quant au point techniques dont vous discutez, mais par contre, les 2 citations qu'il t’attribue sont les miennes et je plaide pour une erreur de manip avec les balises BBCode ^^ Je ne pense donc pas qu'il joue a quoi que ce soit et il n'y faut sans doute voir aucune malice

[Artemus24]

Salut à tous.

Donc le seul axe de protection de la population, c'est d'augmenter celle-ci.

Comme nous ne pouvons rien faire contre les pirates alors je tape sur les entreprises pour les contraindre à résoudre un problème qui n'est pas de leur fait.

Du coup,si tu es d'accord à fournir un minimum sécurité aux utilisateurs, c'est que tu es d'accord pour forcer les entreprises à le faire non?

Ces entreprises là ne sont pas spécialisées dans la cybersécurité. Autrement dit, ce n'est pas leur métier.
Et tu leur demandes de résoudre un problème qui ne les concerne pas alors qu'ils existent d'autres solutions sur le marché.

Tout dépend de la faisabilité de ce minimum de sécurité dont tu parles.
Ne plus mettre par défaut le user & password lors d'une nouvelle installation est une bonne chose pour l'utilisateur lambda.
Sur ce point, je suis d'accord.

Malheureusement, une obligation sans sanction, c'est du vent, et personne ne l'appliquerait.

Pourquoi contraindre ? C'est cela que je ne comprends pas.

A qui appartient l'internet ? Voilà une bonne question !
C'est le même genre de question concernant les territoires de l'antartique, des zones internationalles, de la surface de la lune ...
Est-ce la loi du plus fort ?

En résumé, le mieux est l’ennemi du bien et je trouve cette mesure "bien".

Je ne dis pas qu'il faut ne rien faire. Mais qu'il ne faut pas se tromper d'ennemie.
Je reconnais qu'il y a un minimum à mettre en place au niveau de la sécurité pour le tout public.
Mais que celui-ci doit savoir aussi se prendre en charge et ne pas demander à l'état de résoudre des problèmes de sécurités.

Cordialement.
Artemus24.
@+

[AoCannaille]

Ces entreprises là ne sont pas spécialisées dans la cybersécurité. Autrement dit, ce n'est pas leur métier.
Et tu leur demandes de résoudre un problème qui ne les concerne pas alors qu'ils existent d'autres solutions sur le marché.

Pour moi, n'importe quel entreprise qui propose un produit connecté a au moins une partie de leur métier qui est "cyber" et sont concernés par la cybersécurité. Et en tant que fournisseur de service connecté, s'il existe des solutions sur le marchés, un fournisseur peut bien faire appel à un partenariat ou une sous traitance pour résoudre un problème de cyber sécurité qui les concerne.

En d'autres terme, même si ce n'est pas leur métier, c'est leur responsabilité et c'est à eux de trouver la compétence nécessaire pour résoudre les problèmes de sécurité.

Tout dépend de la faisabilité de ce minimum de sécurité dont tu parles.

Je n'envisage évidement pas une obligation de résultat, mais une obligation de moyen est nécessaire. Donc dans le cadre de l'obligation de moyen, la faisabilité existe, puisqu'il s'agit de l'état de l'art.

A qui appartient l'internet ? Voilà une bonne question !
C'est le même genre de question concernant les territoires de l'antartique, des zones internationalles, de la surface de la lune ...
Est-ce la loi du plus fort ?

Tu as raison, bonne question, un peu hors sujet, mais bonne question.
Limiter les failles connues sur le matériel utilisé par ta population protège ta population de l'utilisation de faille existantes. C'est en ça que c'est le rôle de l'état : protéger sa population.
ça n'empêche pas de poursuivre les pirates.

Je ne dis pas qu'il faut ne rien faire. Mais qu'il ne faut pas se tromper d'ennemie.
Je reconnais qu'il y a un minimum à mettre en place au niveau de la sécurité pour le tout public.
Mais que celui-ci doit savoir aussi se prendre en charge et ne pas demander à l'état de résoudre des problèmes de sécurités.

On ne peut pas demander à la population de "se prendre en charge" sur des sujets aussi techniques.
Dans une certaine mesure, on peut voire ça comme les normes de sécurité dans les voitures.
Au final, les utilisateurs ne devraient pas rouler au dessus des limites non ? L'état n'aurait jamais du rendre obligatoire les ceintures de sécurité.
On est dans le même cadre : Un constructeur aujourd'hui est obligé d'installer des ceintures, et si le l'utilisateur ne veut pas la mettre, c'est son problème.
Ici, le constructeur d'objet connecté est obligé de ne pas fournir un user/psswd par défaut, et si l'utilisateur veut mettre "user" et "Password123", c'est son problème.

Cela reste de l'infantilisation, j'en convient.

[Artemus24]

Salut AoCannaille.

La cybersécurité concerne la protection des données dans les réseaux d'entreprise ou chez des particuliers.
Je vois cela comme des couches différentes où il est nécessaire de bout en bout de trouver des solutions.
Un éditeur de logiciel va se consacrer à sa partie développement car c'est son métier.
Tu ne peux pas lui demander de résoudre un problème de routeur car ce n'est pas son métier.
Inversement, tu ne peux pas demander à un revendeur informatique de résoudre un problème système ou je ne sais quoi d'autre.

A chacun son métier et le problème réside dans la responsabilité de qui doit faire quoi.
Tu as beau insister en imposant un choix avec sanction à l'appui, il arrivera toujours qu'une faille existera et que personne ne l'aura vu.
L'informatique devient de plus en plus complexe et je suppose, comme dans les banques, qu'il arrivera un jour un manque de compétences pour maitriser le sujet de bout en bout.
Aujourd'hui, il existe de part le monde des zones de non droits, comme la Russie et la Chine.
Comment faire pour résoudre ce problème ?

Je reste toujours avec l'idée que les solutions proposées ne servent à rien.
Je prends l'image d'une personne qui me donne des coups de marteau sur la tête.
Je vais voir mon médecin et il me donne des antalgiques pour soigner ma migraine.
Alors que la solution consisterait à demande à la personne d'arrêter de me donner des coups de marteau sur la tête.
C'est ce genre de raisonnement qui fait fonctionner notre société et que je ne comprends pas.
On ne cherche pas à résoudre le problème mais à se faire de l'argent en cohabitant avec le problème.

Dans l'idéal, je suis d'accord qu'il faut imposer le minimum sécuritaire, mais dans la réalité, c'est autrement plus complexe que de ne pas mettre de user & password par défaut.

Je n'envisage évidement pas une obligation de résultat ...

Cela me surprend car le but final de la loi est bien de ne plus avoir de user & password par défaut.
Ou alors je n'ai pas bien compris ce que tu entends par "obligation de résultat".

... mais une obligation de moyen est nécessaire.

Tu veux dire qu'il est nécessaire d'avoir le moyen de bien se protéger mais qu'il n'est pas obligatoire de s'en servir.

C'est en ça que c'est le rôle de l'état : protéger sa population.

Je ne crois pas que le rôle de l'état, dans le cadre de l'internet, est de protéger sa population.
Je pense que tu parles de la gouvernance du web, du point de vu de notre pays.
A vrai dire, j'ignore totalement le rôle de l'état à ce sujet, à part celle de la loi hadopi.

On ne peut pas demander à la population de "se prendre en charge" sur des sujets aussi techniques.

Justement, c'est ça le problème.

Quand la voiture est apparue fin XIX^ième, les gens conduisaient n'importe comment.
La solution a été d'imposer à tous conducteurs un permis de conduire.
Tôt ou tard, l'état va imposer à l'école un enseignement obligatoire sur la bonne pratique de l'internet.
Tout comme, elle le fait en ce qui concerne l'éducation civique et morale.

Cela reste de l'infantilisation, j'en conviens.

Pourquoi une infantilisation ??? Non, c'est du savoir vivre.

Cordialement.
Artemus24.
@+

[jvallois]

Je ne m'avancerai pas à résoudre le quiproquo quant au point techniques dont vous discutez, mais par contre, les 2 citations qu'il t’attribue sont les miennes et je plaide pour une erreur de manip avec les balises BBCode ^^ Je ne pense donc pas qu'il joue a quoi que ce soit et il n'y faut sans doute voir aucune malice

De la malice, je ne pense pas, mais sa façon de répondre systématiquement à côté m'ammène à me poser des questions !

Pourquoi une infantilisation ??? Non, c'est du savoir vivre.

Le savoir vivre, c'est aussi répondre aux questions posées et non à côté...

Je répète donc : Que s'est-il exactement passé au lancement du système ainsi mis à jour ?

[Artemus24]

Salut à tous.

Je viens de constater que je n'ai pas vu certains message auxquels je vais répondre.

Bon, je n'y comprend rien !

Cela ne me surprend pas car je pense que vous n'avez pas compris la manipulation que j'ai faite.

Je vais essayer de résumer : Tu as fait une nouvelle installation et, au démarrage, tu n'as retrouvé que les utilisateur "pi" et "root" habituels, c'est bien ça ?

Oui, j'ai fait une nouvelle installation, mais sans passer par :
--> Windows en utilisant "Raspberry PI Imager".
--> le nouveau chargeur d'amorçage de la Raspberry Pi.

Je me suis mis dans une Raspberry pi utilisant la version Buster avec une carte micro SD.
J'ai utilisé la commande "wget" et j'ai téléchargé l'image de la dernière version Bullseye.
J'ai branché mon disque dur dans lequel j'ai déployé l'image de Bullseye en écrasant les partitions "/boot" & "/rootfs".
Au démarrage de la raspberry pi avec cette nouvelle version Bullseye dans mon disque dur, j'ai trouvé les comptes "root" & "pi".

J'ai déjà répondu précédemment deux fois à la question.
Oui, j'ai trouvé les deux comptes "root" & "pi" dans la version Bullseye.
Aucune demande du changement de mot de passe ou du nom du compte utilisateur ne m'a été demandé.

Quand vous me demandez :

Dois-je comprendre que votre mise en place a tout simplement repris les paramètres de l'installation précédente ?

Je vois ai répondu :

Non pas du tout.

Ma réponse concernait ce que vous avez demandé, à savoir "les paramètres de l'installation précédente".
Comme je l'ai déjà dit, j'ai écrasé le contenu des deux partitions "/boot" & "/root" lors du déploiement.
Il n'y a aucun paramétrage de la version précédente buster puisque cette version a été écrasé par la nouvelle version bullseye.

Est-ce plus clair ou faut-il que je répète une quatrième fois ?

Je dois donc en déduire que vous n'avez pas retrouvé les identifiants précédents.

Quel identifiants précédents ? Il n'y en a pas. C'est le mot écrasé que vous ne comprenez pas ou vous le faite exprès ?

Je commence à me demander à quoi tu joues ?

Je ne joue à rien du tout. Je me demande si vous arrivez à comprendre ma prose ?

les 2 citations qu'il t’attribue sont les miennes et je plaide pour une erreur de manip avec les balises BBCode ^^

C'est corrigé. Désolé. C'st bien une mauvaise manipulation de ma part.

Le savoir vivre, c'est aussi répondre aux questions posées et non à côté...

Ce n'est pas de ma faute si vous ne comprenez pas ce que j'essaye de vous expliquer.

Je répète donc : Que s'est-il exactement passé au lancement du système ainsi mis à jour ?

Au lancement du système, aucune demande de changement du "user" & du "password" ne m'a été demandé.
J'ai retrouvé les deux comptes "root" & "pi" présents dans la version Bullseye.

Je vais arrêter là les échanges avec vous, jvallois car cela commence à m'énerver.
Je me demande si vous ne le faite pas exprès de ne pas comprendre.

Cordialement.
Artemus24.
@+

[weed]

Un des grand intéret du Raspberry et des concurents tel que les Ordroid, les pine64 est d'en faire un petit serveur, donc en général sans écran, autonome.

Je me demande comment ils vont faire pour que l'on puisse changer son login/mot de passe. Sauf erreur de ma part, il n'est possible de demander de changer de mot de passe lors de la première connexion en ssh.

Pour ma part, je pense que la meilleur solution aurait été de forcer l'utilisateur à passer par une clef privé comme le fait Debian en ARM. Tu n'as pas la clef, tu ne peux pas te connecter même brute forcant. Il n'y a pas mieux de mon point de vue et c'est très facile à mettre en place.

La meilleur solution reste encore de ne pas être atteignable depuis internet quand on se trouve derrière une box.
Comme les BOX des FAI sont des passoires, il faudra une nouvelle loi pour renforcer la sécurité des routeurs qui ont un paramétrage par défaut.

Je reste persuadé qu'une des meilleurs défenses est de ne pas ouvrir sur les ports classiques mais d'ouvrir un port élevé. La personne aura moins tendance à scanner les ports élevée.
A l'usage, c'est moins agréable pour une utilisation perso, la famille, et 2-3 amis, rajouter par exemple :12432 après son url pour accéder via ce port n'est pas si problématique. Le port classique s'en retrouve protéger par la box