Une mise à jour de Raspberry Pi OS Bullseye a supprimé l’utilisateur « pi » par défaut pour rendre plus difficile pour les attaquants de trouver et de compromettre les appareils Raspberry Pi exposés à Internet en utilisant les informations d’identification par défaut.
À partir de cette dernière version, lors de l’installation du système d’exploitation, vous serez d’abord invité à créer un compte en choisissant un nom d’utilisateur et un mot de passe (avant ce changement, le programme d’installation du système d’exploitation ne demandait qu’un mot de passe personnalisé).
Vous ne pouvez plus ignorer cette étape car l’assistant de configuration sera lancé lors du premier démarrage de l’appareil (auparavant, vous pouviez appuyer sur Annuler pour utiliser les informations d’identification pi/raspberry par défaut).
Bien que vous puissiez toujours choisir d’utiliser un nom d’utilisateur « pi » et « Raspberry Pi » comme mot de passe, vous serez averti que ce n’est pas un choix judicieux.
« Nous ne supprimons pas l’utilisateur ‘pi’ sur les installations existantes. Nous n’empêchons personne d’entrer ‘pi’ et ‘raspberry’ comme nom d’utilisateur et mot de passe sur une nouvelle installation », a déclaré Simon Long, Senior Principal EngineerSenior chez Raspberry. Pi.
« Tout ce que nous faisons, c’est faciliter la tâche des personnes qui se soucient de la sécurité pour ne pas avoir d’utilisateur ‘pi’ par défaut – ce que les gens demandent depuis un certain temps maintenant. »
Lors du premier démarrage de l’image, les utilisateurs de l’image Raspberry Pi OS Lite seront également invités à créer un nouveau compte via des invites de texte de ligne de commande.
Si vous souhaitez exécuter Raspberry Pi sans tête, vous pouvez créer l’utilisateur avant de démarrer dans le système d’exploitation en définissant un nom d’utilisateur et un mot de passe via la boîte de dialogue Paramètres avant d’écrire l’image ou d’ajouter un fichier userconf à la partition de démarrage contenant un nom d’utilisateur : mot de passe crypté paire.
Les installations existantes ne sont pas concernées par ce changement. Cependant, les utilisateurs peuvent toujours basculer vers des informations d’identification autres que celles par défaut en mettre à jour leur image existante et en exécutant la commande sudo rename-user.
« Ce n’est pas vraiment une faiblesse – le simple fait de connaître un nom d’utilisateur valide n’aide pas vraiment si quelqu’un veut pirater votre système ; il aurait également besoin de connaître votre mot de passe, et vous auriez besoin d’avoir activé certains forme d’accès à distance en premier lieu, » Long expliqué.
« Mais néanmoins, cela pourrait potentiellement rendre une attaque par force brute un peu plus facile, et en réponse à cela, certains pays introduisent maintenant une législation interdisant à tout appareil connecté à Internet d’avoir des identifiants de connexion par défaut. »
Par exemple, le Royaume-Uni veut appliquer de nouvelles réglementations demandant que les appareils IoT ne soient plus livrés avec des noms d’utilisateur et des mots de passe par défaut, mais demandent plutôt aux clients de choisir des informations d’identification personnalisées, « non réinitialisables à une valeur par défaut universelle ».