Le Raspberry Pi tente de renforcer sa sécurité
Raspberry Pi a apporté une modification à son système d’exploitation Raspberry Pi OS qui supprime le nom d’utilisateur et le mot de passe par défaut.
Jusqu’à présent, le nom d’utilisateur et le mot de passe par défaut de ces petits ordinateurs étaient respectivement “pi” et “raspberry”, ce qui simplifiait l’installation d’un nouveau dispositif Pi, mais pouvait aussi faciliter le piratage de ces appareils par des attaquants à distance grâce à des techniques de “password spraying”.
Sécuriser et se mettre en règle
« Jusqu’à présent, toutes les installations de Raspberry Pi OS avaient un utilisateur par défaut appelé “pi”. Ce n’est pas vraiment une faiblesse – le simple fait de connaître un nom d’utilisateur valide n’est pas d’une grande aide si quelqu’un veut pirater votre système ; il doit également connaître votre mot de passe, et vous devez avoir activé une forme d’accès à distance en premier lieu », explique Simon Long, ingénieur principal pour Raspberry Pi Trading.
« Mais néanmoins, cela pourrait potentiellement rendre une attaque par force brute plus facile, et en réponse à cela, certains pays introduisent maintenant une législation pour interdire à tout appareil connecté à internet d’avoir des identifiants de connexion par défaut. »
Le Royaume-Uni, par exemple, prévoit d’introduire une nouvelle réglementation qui empêchera les fabricants d’objets connectés de les livrer aux consommateurs avec des noms d’utilisateur et des mots de passe par défaut.
Selon Simon Long, la dernière version de Raspberry Pi OS supprimera donc le nom d’utilisateur “pi” par défaut et un nouvel assistant obligera l’utilisateur à créer un nom d’utilisateur lors du premier démarrage d’une image Raspberry Pi OS nouvellement flashée. Mais il note également que toute la documentation existante ne s’alignera pas sur le nouveau processus.
« Cela correspond à la façon dont la plupart des systèmes d’exploitation fonctionnent aujourd’hui et, bien que cela puisse causer quelques problèmes lorsque les logiciels (et la documentation) supposent l’existence de l’utilisateur “pi”, cela semble être un changement judicieux à faire à ce stade », ajoute-t-il.
Cela pourrait néanmoins signifier quelques changements pour les utilisateurs lorsqu’ils configurent un nouveau périphérique Raspberry Pi, car le passage par l’assistant sera obligatoire pour une installation de bureau.
« Le passage par l’assistant n’est plus facultatif, car c’est ainsi qu’un compte utilisateur est créé ; tant que vous n’avez pas créé de compte utilisateur, vous ne pouvez pas vous connecter au bureau. Ainsi, au lieu de s’exécuter comme une application dans le bureau lui-même comme auparavant, l’assistant s’exécute maintenant dans un environnement dédié au premier démarrage. »
Une certaine souplesse reste nécessaire
Raspberry Pi permet toujours aux utilisateurs de définir le nom d’utilisateur sur “pi” et le mot de passe sur “raspberry”, mais il affichera un avertissement indiquant qu’il est imprudent de choisir les valeurs par défaut.
« Certains logiciels peuvent avoir besoin de l’utilisateur “pi”, nous ne sommes donc pas complètement autoritaires à ce sujet. Mais nous recommandons vraiment de choisir autre chose », indique Simon Long.
Les ventes de Raspberry Pi ont connu un pic au début de la pandémie, les consommateurs recherchant des appareils informatiques domestiques bon marché. Mais le Raspberry Pi est désormais confronté à des contraintes d’approvisionnement en raison de la pénurie mondiale de puces. Cette semaine, Even Upton, responsable de Raspberry Pi, a admis que les revendeurs étaient en rupture de stock.
« La demande de produits Raspberry Pi a fortement augmenté depuis le début de l’année 2021, et les contraintes d’approvisionnement nous ont empêchés de nous adapter à cette demande, ce qui fait que nous avons maintenant des retards importants pour presque tous les produits. A leur tour, nos nombreux revendeurs ont leurs propres commandes en attente, qu’ils remplissent lorsqu’ils reçoivent des stocks de notre part », précise Even Upton.
Source : ZDNet.com