Raspberry Pi : une faille de sécurité dans le système d'exploitation Raspbian

Permet de générer des clés SSH prévisibles

La famille Raspberry Pi s’est récemment agrandie avec un nouveau modèle au prix officiel de 5 $. Cela pourrait bien évidemment accroître le nombre d’utilisateurs à rejoindre les millions de personnes qui ont déjà utilisé le matériel depuis 2012, comme le revendique Eben Upton, fondateur de Raspberry Pi.

Si le nano-ordinateur enrôle de plus en plus d’utilisateurs dans le monde entier, c’est le moment de commencer à anticiper les éventuels problèmes de sécurité avant qu’il ne devienne une cible pour les attaquants.

Une faille de sécurité a été signalée dans Raspbian, le système d'exploitation libre et gratuit fondé sur GNU/Linux/Debian et optimisé pour fonctionner sur un Raspberry Pi. La faille entraîne la génération de clés d’hôte SSH prévisibles. Les clés SSH peuvent en effet être devinées par un attaquant s’il connaît l’état dans lequel le Raspberry Pi se trouvait lors de son premier démarrage : souris connectée, câble réseau branché ou autres périphériques USB connectés, etc. Plus de détails sur la faille sont fournis sur le site de Raspberry Pi.


En portant votre jugement sur cette faille de sécurité, il ne faut surtout pas omettre les nombreux cas d’utilisations possibles de ce matériel qui a pourtant un prix bon marché.

Un Raspberry Pi peut en effet être utilisé comme un serveur, que ça soit pour héberger des sites web, stocker des données ou héberger un service qui doit être accessible depuis n’importe quel emplacement. Il peut également faire office de média center, offrant ainsi un système informatique venant se greffer à une télévision. Ce système pourra permettre de compléter les services basiques de la télévision, avec une interface plus conviviale, un accès internet, la possibilité de stocker et de lire de la musique, des images, des vidéos, etc. Le Raspberry Pi peut encore être utilisé dans la domotique, pour gérer différents équipements d’une maison, ou tout simplement comme un ordinateur. Dans le dernier cas, il cible en particulier les utilisateurs n’ayant pas besoin de puissance de calcul exceptionnelle.

Pour les utilisateurs avertis, Raspberry Pi peut aussi être exploité dans le cadre des projets basés sur des systèmes embarqués. Cette variété d’utilisations possibles de Raspberry Pi peut donc augmenter l’ampleur de la gravité d’une faille de sécurité.

Dans une discussion dédiée à la vulnérabilité sur le site de Raspberry Pi, un patch a été publié avant d’être aussitôt retiré par un modérateur. Ce dernier a exprimé un doute en ce qui concerne la fiabilité du patch. Il estime qu’une analyse est nécessaire avant de dire si le correctif est sûr ou non. Dans un autre message posté hier, l’un des contributeurs de Raspberry Pi explique que le problème n’est pas lié à Raspbian/Raspberry Pi, mais affecte toutes les distributions Linux. Il précise encore que le problème est connu par la communauté Linux et qu’il existe des mitigations. Toutefois, ces mitigations ne sont pas possibles avec Raspbian. « Chaque utilisateur doit donc évaluer la menace en fonction du cas d'utilisation de son Raspberry Pi », a-t-il ajouté. Aux utilisateurs avertis qui exigent plus de sécurité et de confidentialité, il est suggéré d’activer le RNG du matériel et de régénérer les clés SSH.

Source : Raspberry Pi

Et vous ?

Utilisez-vous un Raspberry Pi ? Qu’en pensez-vous ?

Voir aussi

Forum Raspberry Pi