Bonjour à tous, j’espère que vous allez bien.
Petit article pour vous informer d’un nouveau point important dans la distribution Raspbian fourni par la fondation Raspberry Pi qui a lieu au niveau de la sécurité de Raspbian suite aux attaques qui ont eu lieu ces derniers mois. 😼
1. EXPLICATIONS TECHNIQUES SUR LES ATTAQUES
Effectivement si vous n’avez pas vécu dans une grotte ces derniers mois ou années, vous avez dû voir les médias parler d’attaques informatiques de grandes ampleurs… Mais les médias ne sont pas très précis sur les caractéristiques de ces attaques… 😖
Pour être plus précis que les médias, des botnets : des ordinateurs, des objets connectés (caméra de surveillance, etc.) sont vampirisés par des personnes mal intentionnées afin de pouvoir lancer des attaques DOS sur les plus gros fournisseurs DNS pour paralyser le plus grand nombre de site possibles. 😭
Oui dit comme cela c’est très indigeste et je comprends que les médias ne cherchent pas plus loin… Mais si vous lisez cet article, vous devriez tout comprendre :
Des personnes méchantes peuvent prendre contrôle des objets connectés ou d’ordinateurs connectés pour faire tourner des programmes ou des bouts de code dessus. Comment ces différents appareils se retrouvent vampirisés? Pour plusieurs raisons en faite, car les torts sont souvent partagés :
- Si un fabricant vend par exemple 1000 produits et que les identifiants par défaut pour régler le dit appareil sont identiques, il devient facile d’accéder facilement à un grand nombre d’appareils si on sait où chercher.
- Le client laisse les identifiants par défauts après avoir réglé son appareil.
- Le fabriquant ne fournit pas ou plus de mise à jour pour sécuriser son produit au fur et à mesure que de nouvelles failles sont détectées.
- Le fabricant n’inclut pas de protocole de sécurité sur son produit.
- Le client n’applique pas les mises à jour du fabricant.
- Le client enlève toutes les sécurités, car il n’arrive pas à retenir tous les mots de passe.
- Le client utilise le même mot de passe partout et pour tout dès qu’il en a besoin.
Les attaques qui ont eu lieu sont dites attaques par dénis de services (DOS), ce qui veut concrètement dire : On sature le serveur avec plein de connections. Si le serveur est prévu pour supporter 1.000 connexions, imaginez comment il peut devenir difficile de le contacter si vous lui envoyez 10.000 connexions en même temps… C’est une description très simplifiée, car il y a plusieurs types d’attaques DOS… 😉
La où les attaques de ces derniers mois sont géniales c’est qu’au lieu d’utiliser principalement des serveurs ou des ordinateurs, elles ont utilisé principalement des objets connectés non sécurisés… Qui plus est au lieu de viser un site particulier et de le faire tomber avec cette technique, les attaquants ont directement visé les fournisseurs DNS (Domaine Name System) les plus importants… Pour rappel les fournisseurs DNS sont ces entités qui permettent de rattacher l’adresse IP d’un serveur sur lequel sont stockés les données d’un site internet à un nom de domaine ce finissant en *.com la plupart du temps. Ainsi en saturant les serveurs des différents fournisseurs DNS les attaquants n’ont pas fait tomber un site, mais une multitude de sites… 😘
2. Pourquoi les attaques durent-elles aussi longtemps?
Tout simplement, car quand un serveur est attaqué le webmaster le voit vite, car les ressources du serveur sont mises à mal (pourcentage du processeur, de la RAM et de la bande passante utilisée). De plus ce dernier est un professionnel et il dispose d’outils pour se défendre… ✅
Or dans les cas des objets connectés, du moment que le client (vous et moi) peut toujours visualiser sa caméra ou sa Télé par exemple, il ne sait pas du tout quelles ressources sont utilisées par ceux-ci… 😄
Pire, si les webmasters sont préparées à ce genre d’attaques et savent comment sans prémunir, les fournisseurs DNS eux n’étaient pas du tout prêt à ce genre d’attaque, car qui penserait à attaquer le système qui fournit le nom de domaine au lieu du serveur qui stocke les données? 🙄
Comme l’attaque ce situe au niveau du lien entre les données présentes sur le serveur qui héberge le site et l’organisme qui fournit le nom de domaine, ce qui permet aux clients (vous et moi) d’accéder au site facilement, mais qu’en réalité la source du problème est justement le client (vous et moi) qui envoyons trop connections depuis nos objets connectés qui sont en faites contrôlés par des hackers. On arrive à une spirale infernale qui permet ni plus ni moins que de faire sauter la quasi-totalité d’internet pendant plusieurs jours… 😡
Le vrai souci, c’est que dans ce type de cas il n’est pas vraiment possible de savoir si des données sont volées ou non, car les attaquants profitent du ralentissement général pour faire ce qu’ils veulent sans que l’ont puissent les voir ou enregistrer une trace de ce qu’ils ont fait… Or dans le cas présent c’est internet dans sa globalité qui a été touchée et cela pendant plusieurs jours… Effrayant n’est-ce pas??? 😱
Vous comprenez maintenant l’importance de sécuriser comme il faut vos données et de savoir quel code s’exécute sur les objets connectés que vous avez achetés…
3. LE RAPPORT ENTRE LES ATTAQUES, LE RASPBERRY PI ET LE SSH
Pour rappel, le SSH ou Secure Shell permet de prendre contrôle d’un ordinateur tournant sur un système UNIX à distance via des réseaux comme l’Ethernet ou le wifi. Il n’y a pas d’interface graphique afin d’optimiser au maximum la bande passante et le temps d’attente.
Si pour le moment il n’a pas été constaté que des Raspberry Pi ont été utilisés pour participer à ces attaques, rien n’est plus certain qu’un Raspberry Pi reste à la fin des fins un formidable objet connecté possédant dans sa dernière version de 1 Go de ram DDR3 et d’un processeur ARM 64bits quadricoeurs donc d’une puissance de calcul conséquente pouvant être utilisé à mauvais escient… 😟
Dois-je vous rappeler également que la fondation Raspberry Pi a déjà vendu plus de 10 millions de Raspberry tous modèles confondus? Et que le mot de passe et l’identifiant par défaut de Raspbian sont raspberry et pi? 😇
Les utilisateurs avancés de Raspberry Pi savent également qu’il y a un serveur SSH activé par défaut permettant de prendre le contrôle du Raspberry Pi en ligne de commande via le WIFI… Mais comme le Raspberry Pi est une plateforme visant à apprendre les possibilités qu’offre un système UNIX la plupart des utilisateurs se contentent de brancher un écran et un clavier, ne changent pas le mot de passe par défaut et ne découvrent pas les possibilités qu’offre le SSH… Ce qui rend le Raspberry Pi aussi vulnérable qu’une caméra de surveillance chinoise de mauvaise qualité… 😩
Attendez ne jetez pas votre Raspberry Pi par la fenêtre!!!
Comme la plupart des Raspberry Pi sont utilisés à la maison derrière le box de votre fournisseur d’accès, ils sont donc sur des réseaux privés ainsi le SSH et donc la ligne de commande sont uniquement accessibles depuis votre réseau local. C’est pour cela qu’il faut ouvrir et rediriger des ports sur votre box si vous voulez avoir accès à votre Raspberry Pi lorsque vous n’êtes pas chez vous.
Comme il faut un peu connaître les rudiments d’internet pour faire cela et que la plupart des personnes ne le font pas, cela réduit déjà grandement les chances de voir votre Raspberry Pi vampirisé pour attaquer des serveurs à votre insu…
Malheureusement si votre Raspberry Pi est sur un réseau public, que vous n’avez pas changé le mot de passe par défaut et que vous n’avez pas désactivé le serveur SSH vous avez du souci à vous faire…
Ainsi pour protéger tous les utilisateurs du débutant au vieux briscard de Linux le serveur SSH est maintenant désactivé par défaut dans Raspbian… Ce qui n’est pas très grave pour les débutants qui ne s’en servent pas, mais qui est terriblement contraignants pour les utilisateurs avancés comme moi qui n’ont pas toujours un écran et un clavier sous la main…
Mais la fondation a pensé à tout… Effectivement il est toujours possible d’activer ou de désactiver le serveur SSH à la demande via raspi-config en ligne de commande ou depuis l’utilitaire disponible si l’on charge l’environnement de bureau…
Toutefois, lors d’une installation toute fraîche de Raspbian, vous n’avez pas toujours un écran et un clavier pour activer ce serveur SSH. Pour activer le serveur SSH dès le premier démarrage sur une installation fraîche de Raspbian, il faut maintenant mettre un fichier nommé SSH sans extension et qui peut être vide pour accéder à votre Raspberry Pi à travers votre réseau local.
- J’espère que cet article vous éveillera au besoin de comprendre l’infrastructure du réseau mondial actuelle et dont nous dépendons quasi tous maintenant…
- J’espère que cet article vous permettra de comprendre l’importance de la nature des softwares que l’on utilise chez soi…
- J’espère que cet article vous permettra de comprendre à quel point il est de mauvais augure qu’un gouvernement autorise la surveillance de toutes les communications…
- J’espère aussi que cela vous permettra de vous éveiller au principe de neutralité du web que l’on peut résumé ainsi d’après la métaphore d’un enfant anglais de 7 ans : « Imaginez qu’un magasin donne des milkshakes gratuitement. Mais vous devez acheter une paille pour les boire. C’est cool en achetant une paille vous obtenez des milkshakes gratuits. Un jour où vous buvez un de vos milkshakes gratuits, le gars qui vous a vendu la paille est en train d’appuyer dessus afin d’en réduire le débit. Il est toujours possible d’avoir des milkshakes gratuits, mais c’est beaucoup plus dur et cela prend beaucoup plus de temps… »
@+ Anders
4. SOURCES
– Métaphore de l’enfant sur Reddit : https://www.reddit.com/r/daddit/comments/2yi6xu/heres_how_my_9year_explained_net_neutrality_to/
– Lien officiel de la Fondation à propos des attaques et du Raspberry Pi : https://www.raspberrypi.org/blog/a-security-update-for-raspbian-pixel/
– Plus d’informations sur DOS : https://fr.wikipedia.org/wiki/Attaque_par_d%C3%A9ni_de_service
– Plus d’informations sur SSH : https://fr.wikipedia.org/wiki/Secure_Shell
– Plus d’informations sur DNS : https://fr.wikipedia.org/wiki/Domain_Name_System