Le Wizard de la fondation Raspberry Pi change ! Cette étape de démarrage de base de Raspberry Pi OS qui permet de configurer étape par étape les divers réglages du système, a été mis à jour avec un nouveau passage obligatoire. La création d’un identifiant et d’un mot de passe. Fini l’utilisateur par défaut « pi », il faudra créer un nom d’utilisateur dès les premières étapes de l’installation et choisir un mot de passe associé. Il ne sera plus possible de passer outre cette étape en l’annulant.
Un choix logique puisque de nombreux utilisateurs de ces solutions ne changeaient pas forcément le nom et le mot de passe par défaut de cet utilisateur de base avant de relier leur carte au réseau. Faisant des RPi installées dans ces conditions des cibles de choix pour des attaques en ligne. Avec l’identifiant et le mot de passe installés par défaut, un serveur piloté par quelqu’un de mal intentionné peut scanner des dizaines de milliers d’adresses IP chaque jour et tenter, de manière peu subtile mais efficace, d’y pénétrer en utilisant ce sésame public. Le risque étant d’en retirer des informations, d’implanter des outils malveillants ou de s’en servir comme base arrière pour des attaques variées comme des DDOS par exemple.
On remplacera donc « pi » par autre chose comme : Gandalf. Et le mot de passe « raspberry » par défaut par « S4r0um4n3_3st_p4s_c**l » par exemple.
Avec ce nouveau fonctionnement, en forçant obligatoirement l’utilisation d’un nom d’utilisateur et d’un mot de passe, les risques de se retrouver face à ce type d’attaque baissent drastiquement.
A noter que les développeurs de Raspberry Pi OS prennent en compte le fait que beaucoup d’utilisateurs utilisent des périphériques Bluetooth pour piloter leur machine. Ces périphériques sont donc pris en compte dans le nouveau système en amont et il ne sera plus nécessaire de brancher au préalable un clavier ou une souris USB pour ensuite connecter un outil Bluetooth. Une fonctionnalité qui sera disponible nativement sur les Raspberry Pi 3 et 4 mais également avec les cartes plus anciennes munies d’un adaptateur USB-Bluetooth compatible.
Le reste de cette étape ne change pas beaucoup, certaines améliorations ont été portées comme le réglage en temps réel de l’affichage. A la fin de l’opération, une fois tous les réglages techniques de connexion, de langues et autres effectués, le système redémarre et demande obligatoirement à s’identifier. Même la version de Raspberry Pi OS Lite, qui ne possède pas ces réglages de base, demandera une identification via la création d’un nouveau compte.
Pour les déploiements de solutions sans écrans, la dernière version du Raspberry Pi Imager permettra de créer en amont un utilisateur et un mot de passe qui seront directement implantés dans la configuration du système et permettra une prise en charge via réseau sans passer par la case du Wizard. Il sera également possible de glisser un fichier userconf contenant vos noms d’utilisateur et mot de passe à la racine de la carte.
Et pour les systèmes déjà installés exploitant toujours ce bon vieil utilisateur « pi » ?
Si la situation d’une éventuelle carte Raspberry Pi déjà en place tournant toujours sur le nom d’utilisateur et le mot de passe par défaut vous inquiète, il est assez facile d’y remédier. La fondation a prévu la procédure qui est assez simple. Commencez par faire une mise à jour du système avec la ligne de commande suivante pianotée dans le terminal de votre session :
sudo apt update
sudo apt full-upgrade
Puis inscrivez à la suite
sudo rename-user
Le système vous proposera de redémarrer puis vous invitera à créer un nouveau nom d’utilisateur et un mot de passe à la place du fameux « pi » et redémarrera à nouveau en vous demandant de vous identifier avec ces nouveaux éléments… Ce qui pourra éventuellement poser un petit souci. Certains programmes ont été codés en dur pour pointer vers un répertoire /home/pi qui ne correspond plus à votre nom d’utilisateur. Il faudra y remédier manuellement en les modifiant ou les désinstaller avant de les réinstaller avec votre nouvel identifiant en place.
Les nouvelles images de Raspberry Pi OS sont disponibles ici. Les infos détaillées quant à ce changement sont lisibles à cette adresse.
| 2,5€ par mois | 5€ par mois | 10€ par mois | Le montant de votre choix |
J’ai eu un débat sur une situation similaire avec des collègues sur un projet open source:
Je refusait qur le soft ait un comportement non sécurisé par défaut, avec la nécessité de brancher les neurones côté utilisateur.
Pour moi, la responsabilité est clairement du côté de raspberry pi, c’est même scandaleux d’avoir attendu autant !
« Certains programmes ont été codés en dur pour pointer vers un répertoire /home/pi qui ne correspond plus à votre nom d’utilisateur. »
Ce serait assez bête d’avoir fait cela, mais dans ce cas après être passé par la case « rename-user » qui va je pense changer le nom d’utilisateur en maintenant les UID/GID et renommer le home en accord… Un simple lien symbolique /home/pi vers /home/new_username devrait faire l’affaire pour ce qui aurait conservé un /home/pi dans une obscure configuration faite à l’installation voir carrément codé (avec les pieds) en dur.
ln -s /home/new_username /home/pi
@n0n0n4t0r:
C’est clair que la première chose que j’ai toujours fait après avoir démarré une nouvelle image de raspberry c’était créer un nouvel utilisateur, le rendre sudoer, y passer/tester le sudo, puis désactiver le compte pi (sudo passwd -l pi) par défaut.
Et même le temps de faire cela, gare à la réinstallation avec un DHCP attribuant des IP fixes en fonction de la MAC: Si les règles NAT/FW de la box avaient été modifiées auparavant pour donner un accès ssh extérieur, si ce dernier a été activé sur l’image d’installation (car PI headless sans clavier/souris/écran), c’est alors un accès externe direct au PI mais alors ici avec ses identifiants par défaut!
Le temps de faire la manip ci dessus pouvant suffire à une compromission, il fallait le cas échéant penser à invalider temporairement ces règles préalablement au 1er redémarrage sur la nouvelle image.
Ceux qui ont un ssh ouvert (avec un bon passwd pour qui ne veut pas devoir se ballader en permanence avec ses clef et qq autres mesures dynamiques pour limiter les retry via fichier /etc/ssh/sshd_config et/ou fail2ban) et regardent leur logs ont pu mesurer combien les login par défaut sont testés avec le password par défaut, puis par bruteforce. A tel point que je suis passé à du port-knocking puis, faute de compatibilité IPV6 du daemon utilisé, à du challenge/response via un serveur https existant sur la machine (curieusement, https apparait beaucoup moins ciblé que ssh: Presque rien au delà des robots d’indexation de moteurs de recherche lâchant l’affaire sur la page de login).
Facile de cibler très précisément et vite en plus, quand la banière ssh affiche une version de kernel et une architecture qui sont celles d’un PI.
C’est clair qu’en voulant rendre l’installation/utilisation accessibles, ils ont été légers. Trop d’utilisateurs n’ont pas vraiment conscience qu’une machine sur le réseau entre-ouvre une porte au monde entier chez eux.
@yann: Le gros soucis est lié aux usages « clé en main » des Pi. Pas mal d’utilisateurs achètent un Pi comme centre multimédia ou comme machine d’émulation et suivent un tuto pas à pas sans se poser de question. Leur image système est donc parfaitement classique avec encore et toujours le fameux « Pi ». Cela en fait des cibles privilégiées des hackeurs car ces utilisateurs n’ont souvent aucun moyen de comprendre ou de même s’apercevoir d’un problème avec leur installation.
L’histoire est un éternel recommencement : les VAX arrivaient avec un compte ui: field mdp : service qui était rarement modifié
Boarf franchement si tu es capable d’ouvrir ton firewall pour le ssh, c’est que tu as un minimum conscience des dangers encourus.
@Thomas:
Pas de FW actif par défaut sur un PI (et la plupart des distributions Linux), ne reste alors que celui de la box protégeant son réseau local… et là, il y a aussi des gens qui l’ont un jour ouvert de manière complète et indiscriminée pour faire fonctionner un truc (ou le gamin, sans prévenir, pour faciliter ses jeux en ligne ou le P2P) sans vraiment comprendre qu’il sabordaient leur première digue.
Si c’était si compliqué, Shodan mettrait la clef sous la porte!
@Pierre Lecourt:
Je n’ai pas dit le contraire, bien des gens se rendent compte qu’ils ont des invités car une machine ou un réseau rame… Au mieux.
Au pire, celui qui a servi de rebond pour des activités répréhensibles peut hélas être assez brutalement informé par les amis du petit déjeuner défonçant sa porte à 6h00 du matin (voir n’importe quand si lié à du terrorisme) pour saisir le matériel et l’interroger: La méprise sera vite constatée, mais cela restera une expérience hautement désagréable!
Moi j aime beaucoup le mot passe de Gandalf
Merci pour ton taf Pierre et bon weekend
Ha c’est possible de créer un autre utilisateur que celui par défaut ?
Bha je vais remettre comme avant, je m’étais habitué.