Discussion :

[Patrick Ruiz]

La nouvelle mise à jour de l'OS du Raspberry Pi supprime l’utilisateur et le mot de passe par défaut
Pour se conformer aux nouvelles lois qui interdisent les identifiants par défaut

La nouvelle mise à jour d'avril du système d'exploitation Raspberry Pi supprime l'utilisateur Pi ainsi que le mot de passe par défaut. Avant cette mise à jour, les informations d'identification par défaut étaient définies comme suit : nom d'utilisateur : pi et mot de passe : raspberry. Désormais, l'installation demandera aux utilisateurs de définir les informations d'identification par défaut. La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets.

« Jusqu'à présent, toutes les installations du système d’exploitation Raspberry Pi avaient un utilisateur par défaut appelé "pi". Ce n'est pas vraiment une faiblesse - le simple fait de connaître un nom d'utilisateur valide n'est pas d'une grande aide si quelqu'un veut pirater votre système ; il devrait également connaître votre mot de passe et vous devriez avoir activé une forme d'accès à distance en premier lieu. Néanmoins, cela pourrait potentiellement faciliter une attaque par force brute, et en réponse à cela, certains pays sont en train d'introduire une législation interdisant à tout appareil connecté à Internet d'avoir des identifiants de connexion par défaut.

Ainsi, avec cette dernière version, l'utilisateur "pi" par défaut est supprimé et à la place vous créerez un utilisateur la première fois que vous démarrez une image de système d’exploitation Raspberry Pi nouvellement flashée. Ceci est en ligne avec la façon dont la plupart des systèmes d'exploitation fonctionnent aujourd'hui, et, bien que cela puisse causer quelques problèmes où le logiciel (et la documentation) suppose l'existence de l'utilisateur "pi", il semble que ce soit un changement judicieux à faire à ce stade »,

La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets. L'un de ces pays est le pays d'origine de la fondation Raspberry Pi, le Royaume-Uni. Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.

Les entreprises qui vendront des produits numériques ne répondant pas aux nouvelles normes de cybersécurité peuvent être interdites et se voir infliger des amendes pouvant aller jusqu'à 10 millions de livres sterling ou 4 % de leur chiffre d'affaires mondial, ainsi que jusqu'à 20 000 livres sterling par jour en cas d'infraction continue.

Le Parlement a été convoqué par le projet de loi sur la sécurité des produits et l'infrastructure des télécommunications (PSTI). Ce projet de loi stipule que le gouvernement a le pouvoir d'interdire les mots de passe par défaut pour les appareils connectés à Internet. La proposition de loi adoptée invite les entreprises qui vendent des appareils à faire preuve de transparence vis-à-vis de leurs clients en leur indiquant les mesures qu'elles prennent pour les protéger des cybercriminels.

Les fabricants d'appareils numériques veillent actuellement à ce que leurs produits ne causent pas de dommages physiques, tels qu'une surchauffe, des composants tranchants ou un choc électrique. Cependant, ils ne prêtent aucune attention aux cyberviolations qui entraînent le vol et la fraude d'informations privées.

La mise à jour de la législation est censée aider le gouvernement à faire en sorte que les consommateurs puissent utiliser leurs appareils de manière efficace et sans craindre d'être attaqués par des cybercriminels.

Les années 2016 et 2017 ont été marquées par une vague mondiale d’attaques au ransomware qui a fait des dégâts impressionnants sur les systèmes connectés. Le malware Mirai, qui pouvait créer des botnets d'objets connectés, utilisait des gateway Sierra Wireless. Ses attaques ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur français OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire. Ensuite, le ransomware WannaCry qui, entre autres actions, avait pris en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale. Le malware Petya/NotPetya avait également été à l’origine des dégâts effrayants.

Ces logiciels malveillants se déployaient sur des dispositifs vulnérables en recherchant sur Internet des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables identifiés sont alors attaqués par ces logiciels malveillants qui les transforment en botnets pour mener des attaques par déni de service.

C’est dans une tentative de faire face aux problèmes de sécurité occasionnés, en partie, par des mots de passe par défaut attribués par les fabricants aux appareils qui se connectent à des réseaux sans fil que l’État de la Californie à initié, depuis l’an 2017, un projet de loi dénommé « Confidentialité des informations : appareils connectés ». Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.

Le projet a été signé, le 28 septembre 2017 par le gouverneur de la Californie, Jerry Brown. Par conséquent, depuis le 1er janvier 2020, tout ce qui peut se connecter à Internet est en principe doté d'un mot de passe unique, s'il est produit ou vendu en Californie.

Les fabricants des périphériques connectés en Californie sont obligés, en vertu de ladite loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois.

La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.

Source : Rpi

Et vous ?

Comment appréciez-vous cette mesure ?

Voir aussi :

Le Royaume-Uni prévoit d'investir 5 milliards de livres sterling dans le renforcement de la cybersécurité nationale, par la création d'une unité "Cyber Force" pour mener des attaques de représailles

Une nouvelle loi du Royaume-Uni va interdire les mots de passe par défaut dans les dispositifs IdO, car les risques pour la sécurité et la vie privée sont trop importants

Le Royaume-Uni annonce le retrait total des équipements de Huawei de son réseau 5G d'ici à 2027, s'alignant ainsi sur la position de Donald Trump sur la Chine

[AoCannaille]

l'utilisateur "pi" par défaut est supprimé et à la place vous créerez un utilisateur la première fois que vous démarrez une image de système d’exploitation Raspberry Pi nouvellement flashée.

L'avantage de l'utilisateur/mdp par défaut était de pouvoir accéder au raspberry sans clavier souris, avec juste le ssh, et ce dés le premier démarrage.
Ce cas d'usage est-il donc impossible dorénavant ? Sera-t-on obliger de connecter au moins une fois un clavier/écran au raspberrry pour le premier démarrage? Peut-être qu'une étape supplémentaire lors du flash de l'OS sera disponible pour créer un utilisateur à l'installation et pas au premier boot?

La décision tombe dans le but de s’arrimer aux nouvelles lois qui interdisent les mots de passe par défaut pour sécuriser les dispositifs de l’Internet des objets. L'un de ces pays est le pays d'origine de la fondation Raspberry Pi, le Royaume-Uni. Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.

Les entreprises qui vendront des produits numériques ne répondant pas aux nouvelles normes de cybersécurité peuvent être interdites et se voir infliger des amendes pouvant aller jusqu'à 10 millions de livres sterling ou 4 % de leur chiffre d'affaires mondial, ainsi que jusqu'à 20 000 livres sterling par jour en cas d'infraction continue.

Je suis un grand fan de ces idées. L'idée pour la cybersécurité et également l'idée d'indexer l'amende sur le chiffre d'affaire, qui plus est mondial. Je pense qu'enfin ce genre de sanctions peuvent, sinon faire peur, au moins réfléchir aux géants de la tech.

[jvallois]

L'avantage de l'utilisateur/mdp par défaut était de pouvoir accéder au raspberry sans clavier souris, avec juste le ssh, et ce dés le premier démarrage.
Ce cas d'usage est-il donc impossible dorénavant ? Sera-t-on obliger de connecter au moins une fois un clavier/écran au raspberrry pour le premier démarrage? Peut-être qu'une étape supplémentaire lors du flash de l'OS sera disponible pour créer un utilisateur à l'installation et pas au premier boot?

C'est bon, ils y ont pensé. La dernière version d'Imager permet de créer un utilisateur et même de gérer le wifi et la localisation au flashage de l'OS.

[Artemus24]

Salut à tous.

Néanmoins, cela pourrait potentiellement faciliter une attaque par force brute, ...

Cela n'a aucun intérêt de procéder ainsi sur un IOT.
Une attaque brute se fait sur plusieurs semaines, voire plusieurs mois pour découvrir un mot de passe à la condition que celui-ci soit long et compliqué.

... et en réponse à cela, certains pays sont en train d'introduire une législation interdisant à tout appareil connecté à Internet d'avoir des identifiants de connexion par défaut.

Un user et password par défaut, c'est la solution de facilité pour s'introduire dans votre IOT.
Donc oui, il est nécessaire au moins de changer son mot de passe, sinon le user.

La meilleur solution reste encore de ne pas être atteignable depuis internet quand on se trouve derrière une box.
Comme les BOX des FAI sont des passoires, il faudra une nouvelle loi pour renforcer la sécurité des routeurs qui ont un paramétrage par défaut.
Il existe des solutions pour être facilement identifiable et ne pas se faire pirater.
Sauf que cela n'est pas à la portée de tous les utilisateurs lambda.

Le gouvernement britannique a, au terme de l’année précédente, voté une nouvelle loi visant à empêcher que les appareils des consommateurs ne soient attaqués par des pirates informatique.

Il faudra m'expliquer comment empêcher un pirate de s'attaquer aux matériels informatiques.
Le mieux serait de faire une loi applicable dans tous les pays contre la piraterie.
Et de les punir en fonction de la gravité du délit commis.

La proposition de loi adoptée invite les entreprises qui vendent des appareils à faire preuve de transparence vis-à-vis de leurs clients en leur indiquant les mesures qu'elles prennent pour les protéger des cybercriminels.

Et quand la dite entreprise vient de se faire attaquer, est-elle en mesure de donner de bons conseils à leur client ?
La cybersécurité est un métier ! Un revendeur informatique n'a pour la plupart du temps aucune compétence en ce domaine.

S'il s'agit juste de changer les valeurs par défaut de son user & password, ce n'est pas à proprement parlé de la cybersécurité, juste du bon sens.

Cependant, ils ne prêtent aucune attention aux cyberviolations qui entraînent le vol et la fraude d'informations privées.

Ce n'est pas leur métier !

La mise à jour de la législation est censée aider le gouvernement à faire en sorte que les consommateurs puissent utiliser leurs appareils de manière efficace et sans craindre d'être attaqués par des cybercriminels.

Que dois-je comprendre ?
Qu'un utilisateur qui n'y connait rien en informatique, peut se retourner contre son vendeur s'il a subit une attaque ???
Qui a la responsabilité de la mise en œuvre de la cybersécurité ?

Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.

Pour un ordinateur, je peux comprendre. Mais à ma connaissance, on ne demande pas à une imprimante son user et son password.

Les fabricants des périphériques connectés en Californie sont obligés, en vertu de ladite loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois.

Comme sur les BOX, on colle une étiquette avec le SSID et le mot de passe long d'une vingtaine de caractères.
D'ailleurs, qui change le mot de passe de sa BOX ? Pas moi.

La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.

On ne prend pas le contrôle d'un routeur depuis internet. Celui-ci n'est accessible qu'en local.
La vulnérabilité concerne le grand publique. Encore que, il y a des entreprises qui n'y connaissent rien en cybersécurité.
La plupart des ransonware ont été efficaces dans les petites entreprises où ils n'y avaient aucune sécurité.

La prochaine attaque des pirates va concerner la faille de sécurité des VPN depuis que l'état autorise le télétravail.

L'avantage de l'utilisateur/mdp par défaut était de pouvoir accéder au raspberry sans clavier souris, avec juste le ssh, et ce dés le premier démarrage.

La demande qui a été mis en place concerne le changement du user et du mot de passe lors de l'installation du Raspberry Pi OS sur une carte micro SD ou un disque SSD.

Le premier accès en SSH en headless se fera comme d'habitude, car l'installation aura été faite.
Il faut juste se souvenir du user & password que l'on aura mis.

Je pense qu'enfin ce genre de sanctions peuvent, sinon faire peur, au moins réfléchir aux géants de la tech.

Ce n'est pas ce genre de sanctions qui va empêcher les pirates de trouver une nouvelle faille de sécurité.
Il ne sert à rien de pondre une nouvelle loi si les pirates sont plus malins que les entreprises.

C'est bon, ils y ont pensé. La dernière version d'Imager permet de créer un utilisateur et même de gérer le wifi et la localisation au flashage de l'OS.

Je ne l'ai pas encore utilisé pour effectuer une nouvelle installation.
Inversement, j'ai téléchargé la nouvelle Raspberry Pi OS Bullseye dans une partition vide de mon disque SSD.
Ensuite, j'ai procédé à son déploiement dans les partitions "/boot" & "/rootfs".
Il faudra m'explique où va se faire cette demande de changement du password & user ?

Cordialement.
Artemus24.
@+

[jvallois]

Je ne l'ai pas encore utilisé pour effectuer une nouvelle installation.
Inversement, j'ai téléchargé la nouvelle Raspberry Pi OS Bullseye dans une partition vide de mon disque SSD.
Ensuite, j'ai procédé à son déploiement dans les partitions "/boot" & "/rootfs".
Il faudra m'explique où va se faire cette demande de changement du password & user ?

Le plus simple est certainement de mettre en route et de voir ce qui se passe.
Vous nous raconterez ?

[Artemus24]

Bonjour votre majesté jvallois !

Avez-vous une relation avec Pierre Dujols ou son frère Antoine Dujols de Valois ?
Je constate que vous écrivez votre nom avec deux L.

Vous nous raconterez ?

Je ne vais pas recommencer la procédure qui est assez longue à faire.
Ni réinstaller les applications que j'utilise.

Cordialement.
Artemus24.
@+

[AoCannaille]

Ce n'est pas ce genre de sanctions qui va empêcher les pirates de trouver une nouvelle faille de sécurité.
Il ne sert à rien de pondre une nouvelle loi si les pirates sont plus malins que les entreprises.

Je comprends ton point de vue sur la sécurité, même si légiférer pour faire appliquer l'état de l'art de la sécurité sur du matériel grand public reste interessant : De cette façon, *uniquement* les pirates plus malins que les entreprises pirateront. les crawlers à botnet à 50$ sur le darknet perdront en interêt ^^

Et même si ce n'était pas clair dans mon message précédent, je généralisait l’intérêt des amendes en pourcentage sur le chiffre d'affaire à tous les sujets, je pense en particulier respect de la vie privée, à l'abus de position dominante, à l'obsolescence programmée et j'aimerais bien lire un peu plus cela aussi pour les fraudes fiscales...

[Artemus24]

Salut à tous.

Votre manière de faire garde-t-elle, oui ou non, les identifiants de l'ancienne installation ?

Non, je ne garde pas les identifiants de l'ancienne installation.
Je les garderai où puisque j'écrase le contenu de mes partitions.

Je comprends ton point de vue sur la sécurité, ...

Il ne faut pas se tromper de responsable.

Plus les pirates agissent et plus les entreprises son contraintes d'augmenter le niveau de sécurité.
Si les entreprises ne respectent pas la loi, ils sont punis alors que les pirates ne sont même pas sanctionnés.
Les entreprises ne sont pas complices des pirates, juste des victimes.
Les entreprises ne sont pas, non plus, responsable de la mise en œuvre de la sécurité du coté de l'utilisateur.

Autant, je peux comprendre qu'il y a un minimum à fournir aux utilisateurs en terme de sécurité, autant je ne comprends pas les sanctions.
Ne pas avoir de user & password par défaut est une bonne chose.
Mais par la suite, que va-t-on demander aux entreprises .

Je trouve que c'est une connerie d'avoir installé le TPM 2.0, tout ça, à cause des ransonwares.

même si légiférer pour faire appliquer l'état de l'art de la sécurité sur du matériel grand public reste interessant : De cette façon, *uniquement* les pirates plus malins que les entreprises pirateront.

Le but est de faire diminuer la piraterie à travers le monde. De ce point de vue, je suis d'accord !
Tout comme améliorer la sécurité des ordinateurs est une bonne chose.
Mais s'attaquer aux entreprises n'est pas la bonne façon de faire.
A moins que la loi trouve que les entreprises mettent trop de temps pour appliquer cette cybersécurité qu'elle demande.

Je suppose que la cybersécurité va devenir contraignante pour tout le monde.
Il y a l'identité numérique qui commence à se déployer en France.
Bientôt, comme pour nos animaux, nous aurons une puce RFID dans le bras, afin de bien se faire identifier pour accéder à nos ordinateurs.
Certains véhicules sont déjà équipés du test de l'alcoolémie pour le faire démarrer.
Nous aurons des falsifications d'identités et je ne sais quoi d'autres.
Et on final, on dira que toutes ces contraintes sont là notre bien.
Sous le couvert de la piraterie, la loi exige un contrôle total !
Ca me rappelle "big brother is watching you", du livre 1984 de George Orwell.

je pense en particulier respect de la vie privée, à l'abus de position dominante, à l'obsolescence programmée et j'aimerais bien lire un peu plus cela aussi pour les fraudes fiscales...

Ton point de vue concerne plus la justice social que la cybersécurité.

Cordialement.
Artemus24.
@+

[weed]

Un des grand intéret du Raspberry et des concurents tel que les Ordroid, les pine64 est d'en faire un petit serveur, donc en général sans écran, autonome.

Je me demande comment ils vont faire pour que l'on puisse changer son login/mot de passe. Sauf erreur de ma part, il n'est possible de demander de changer de mot de passe lors de la première connexion en ssh.

Pour ma part, je pense que la meilleur solution aurait été de forcer l'utilisateur à passer par une clef privé comme le fait Debian en ARM. Tu n'as pas la clef, tu ne peux pas te connecter même brute forcant. Il n'y a pas mieux de mon point de vue et c'est très facile à mettre en place.

La meilleur solution reste encore de ne pas être atteignable depuis internet quand on se trouve derrière une box.
Comme les BOX des FAI sont des passoires, il faudra une nouvelle loi pour renforcer la sécurité des routeurs qui ont un paramétrage par défaut.

Je reste persuadé qu'une des meilleurs défenses est de ne pas ouvrir sur les ports classiques mais d'ouvrir un port élevé. La personne aura moins tendance à scanner les ports élevée.
A l'usage, c'est moins agréable pour une utilisation perso, la famille, et 2-3 amis, rajouter par exemple :12432 après son url pour accéder via ce port n'est pas si problématique. Le port classique s'en retrouve protéger par la box

[jvallois]

Bon, je n'y comprend rien !

Je vais essayer de résumer : Tu as fait une nouvelle installation et, au démarrage, tu n'as retrouvé que les utilisateur "pi" et "root" habituels, c'est bien ça ?




Bon, j'ai revérifié mes messages, me demandant si je n'étais pas atteint d'un Alzeimer précoce, et je n'y retrouve pas les citations que tu m'attribues !

Je commence à me demander à quoi tu joues ?

[AoCannaille]

Bon, j'ai revérifié mes messages, me demandant si je n'étais pas atteint d'un Alzeimer précoce, et je n'y retrouve pas les citations que tu m'attribues !

Je commence à me demander à quoi tu joues ?

Je ne m'avancerai pas à résoudre le quiproquo quant au point techniques dont vous discutez, mais par contre, les 2 citations qu'il t’attribue sont les miennes et je plaide pour une erreur de manip avec les balises BBCode ^^ Je ne pense donc pas qu'il joue a quoi que ce soit et il n'y faut sans doute voir aucune malice

[jvallois]

Je ne m'avancerai pas à résoudre le quiproquo quant au point techniques dont vous discutez, mais par contre, les 2 citations qu'il t’attribue sont les miennes et je plaide pour une erreur de manip avec les balises BBCode ^^ Je ne pense donc pas qu'il joue a quoi que ce soit et il n'y faut sans doute voir aucune malice

De la malice, je ne pense pas, mais sa façon de répondre systématiquement à côté m'ammène à me poser des questions !

Pourquoi une infantilisation ??? Non, c'est du savoir vivre.

Le savoir vivre, c'est aussi répondre aux questions posées et non à côté...

Je répète donc : Que s'est-il exactement passé au lancement du système ainsi mis à jour ?

[jvallois]

Salut La Compagnie !

J'ai reproduit l'installation de la dernière version de l'OS Raspberry en suivant la méthode que certain ont indiquée ici, à savoir l'écriture de l'image sur un support sans utiliser Imager.

Au démarrage du Raspberry, on a droit au classique message indiquant qu'il agrandit la partition pour occuper toute la carte micro-SD, puis redémarrage et :

On demande ensuite de donner la localisation :

Et enfin de créer un utilisateur et un mot de passe :

On arrive enfin sur le bureau.

Bref, que quelqu'un prétende avoir fait cela sans avoir jamais eu à créer d'utilisateur me laisse perplexe...

[AoCannaille]

Bref, que quelqu'un prétende avoir fait cela sans avoir jamais eu à créer d'utilisateur me laisse perplexe...

Perso j'utisais la commande mnt pour mounter l'iso direct sur la carte mémoire, sans utliser d'outils graphique externe. je modifiais directement le /etc/network/interface pour mettre mon raspberry PI en DHCP et Ensuite je mettais la carte dans le Pi, le branchais et je me connectais directement en ssh.