Un certain… Kevin D. Mitnick l'écrivait dans un livre très clair, l'art de l'intrusion…!!

Une parade consisterait à ne pas avoir de mot de passe standard par défaut mais à en générer/saisir un lors de l'installation de l'application. Non ?

Dans mon souvenir, on racontais ça à propos des mini Digital Equipment vers 1986.

J'installe régulièrement une application Web. Il m'arrive de tester des installations de cette application réalisée par d'autres dans d'autre pays... Le compte et le mot de passe par défaut sont souvent inchangés...

Effectivement une partie de la solution c'est de générer un mot de passe aléatoire lors de l'installation. C'est ce que fait DotClear 2 par exemple.

une solution valable pour le matériel autant que pour le logiciel serait de désactiver l'équipement/le logiciel au bout d'un certain temps si le mot de passe admin par défaut n'a pas été changé.
Ca laisserait le temps de configurer le bazar, tout en s'assurant qu'en prod ça ne fonctionne pas avec les paramètres par défaut.
Les premiers coupables sont les fabriquants de matériel/logiciel...

Si on trouve une porte qui n'est pas fermé à clef , faut-il y entrer sans sonner et faire ce qui te plait dans la maison des autres?
C'est pour ça qu'il y a deux cathégories de hackers: les ethical hackers, ceux qui détectent les portes non vérouillées et en informent les propriétaires et les autres qui en font un business juteux.
Ceci dit, il faut absolument que les fabricants changent les paramètres de configuration ...

La nature humaine est en fait très résiliente notamment à l'avancée technologique.
Si l'exemple cité dans ce billet ne suffit pas à s'en convaincre, il suffit, par exemple, d'écouter attentivement le langage effectivement employé dans le monde professionnel. Sous une froideur et une méthode apparentes se cachent des torrents de passions humaines.
Quelques échantillons dans le livre et le site web "Brèves de couloir" (Editions Mango - http://brevesdecouloir.fr)