Notification inquietante sur HA

Sergio_P · Février 22, 2025, 9:45

Bonjour,
Voila depuis quelques jours , j’ai ce type de notification et cela m’inquiète quelque peut.
S’agit 'il d’une tentative d’intrusion sur mon réseau

Renseigner votre problème

Ma configuration

System Information

version	core-2025.2.2
installation_type	Home Assistant OS
dev	false
hassio	true
docker	true
user	root
virtualenv	false
python_version	3.13.1
os_name	Linux
os_version	6.6.73-haos
arch	x86_64
timezone	Europe/Paris
config_dir	/config

Home Assistant Community Store

GitHub API	ok
GitHub Content	ok
GitHub Web	ok
HACS Data	ok
GitHub API Calls Remaining	5000
Installed Version	2.0.5
Stage	running
Available Repositories	1609
Downloaded Repositories	1

Home Assistant Cloud

logged_in	false
can_reach_cert_server	ok
can_reach_cloud_auth	ok
can_reach_cloud	ok

Home Assistant Supervisor

host_os	Home Assistant OS 14.2
update_channel	stable
supervisor_version	supervisor-2025.02.1
agent_version	1.6.0
docker_version	27.2.0
disk_total	30.8 GB
disk_used	7.2 GB
healthy	true
supported	true
host_connectivity	true
supervisor_connectivity	true
ntp_synchronized	true
virtualization	kvm
board	ova
supervisor_api	ok
version_api	ok
installed_addons	ESPHome Device Builder (2025.2.0), Terminal & SSH (9.16.0), File editor (5.8.0), Samba share (12.4.0), Studio Code Server (5.18.3)

Dashboards

dashboards	4
resources	6
views	3
mode	storage

Network Configuration

adapters	lo (disabled), enp0s18 (enabled, default, auto), docker0 (disabled), hassio (disabled), vethb6eb3bd (disabled), vethbc945f8 (disabled), vethf1bf40c (disabled), vethe3a25c8 (disabled), veth342dd1d (disabled), vethb92ecfb (disabled), vethfcb63f7 (disabled), veth8912eb1 (disabled)
ipv4_addresses	lo (127.0.0.1/8), enp0s18 (192.168.1.20/24), docker0 (172.30.232.1/23), hassio (172.30.32.1/23), vethb6eb3bd (), vethbc945f8 (), vethf1bf40c (), vethe3a25c8 (), veth342dd1d (), vethb92ecfb (), vethfcb63f7 (), veth8912eb1 ()
ipv6_addresses	lo (::1/128), enp0s18 (2a01:e0a:554:f920:c51:768c:7a43:7239/64, fe80::95c3:18af:9b0b:4901/64), docker0 (fe80::42:b7ff:fe74:a8/64), hassio (fe80::42:d0ff:fe7b:6457/64), vethb6eb3bd (fe80::a499:16ff:fed0:5da8/64), vethbc945f8 (fe80::68db:6eff:fe97:2029/64), vethf1bf40c (fe80::e47b:95ff:fe46:5293/64), vethe3a25c8 (fe80::b413:68ff:fe5e:765d/64), veth342dd1d (fe80::9093:f3ff:febb:b0a5/64), vethb92ecfb (fe80::3088:99ff:fe45:4f8f/64), vethfcb63f7 (fe80::4c3c:c0ff:fe35:fbe2/64), veth8912eb1 (fe80::942f:caff:fe8a:6ced/64)
announce_addresses	192.168.1.20, 2a01:e0a:554:f920:c51:768c:7a43:7239, fe80::95c3:18af:9b0b:4901

Recorder

oldest_recorder_run	11 février 2025 à 09:35
current_recorder_run	11 février 2025 à 10:35
estimated_db_size	27.82 MiB
database_engine	sqlite
database_version	3.47.1

ddfdom · Février 22, 2025, 9:54

Salut

Mets nous tes logs précis
Mais je pense que c’est juste du scan bourrin par des scripts

Geulopa · Février 22, 2025, 10:56

Salut j’ai le même cas et l’IP identique

bastgau · Février 22, 2025, 11:10

C’est plutôt rassurant je trouve, HA a bloqué qqc

Il semble y avoir un serveur web derrière cette IP.

Math77 · Février 22, 2025, 12:04

Hello,

Pour rassurer les nouveaux, nous avons tous eu ces messages (à partir du moment où HA est sur le web)…

Quelques solutions :

mettre en place la double authentification,
activer ip_ban

… mais les notifs seront toujours là…

Autre « truc » pour en savoir plus sur ces IP : CrowdSec Cyber Threat Intelligence | CrowdSec Console

Perso, je pense également rendre accessible mon HA via un sous-domaine (peut-être moins exposé qu’un domaine simple…)

Bon we

Sergio_P · Février 22, 2025, 12:25

Je vous remercie de vos réponses, la je viens de mettre a jour HA core , la notification a disparue je vais surveiller la chose …

ddfdom · Février 22, 2025, 2:28

Regarde les logs détaillés et poste le ici

anth0 · Février 22, 2025, 7:22

Petit tip:
Au lieu d’exposer HA sur le Wan, utilise un vpn (genre tailscale ou similaire), ça apporte une bonne couche de sécurité en parallèle de l’authentification !

golfvert · Février 23, 2025, 3:14

—-
Perso, je pense également rendre accessible mon HA via un sous-domaine (peut-être moins exposé qu’un domaine simple…)
——

Ça ne change rien… ce sont des scans automatiques d’adresse IP. Donc le nom DNS importe peu.
Pour éviter les scans sur HA directement, mettre un VPN, c’est la solution. Les scans seront sur les logs du VPN
Normalement un VPN est fait pour la sécurité. Le risque de compromission est donc un peu plus faible que HA. Fail2ban et authentification multifacteur, ça améliore encore les choses.

Math77 · Février 23, 2025, 9:56

Merci @golfvert !

Passer par VPN signifie installer un VPN sur son smartphone ? Et donc activer (puis désactiver) son app VPN quand on veut accéder à HA à distance ?

golfvert · Février 24, 2025, 11:28

Ca dépend du VPN choisit et de la configuration.
Le plus simple, c’est effectivement activation/désactivation et routage via le VPN, en plus compliqué, faire du routage spécifique. Ne router dans le VPN que le sous-réseau chez toi. Et dans ce cas, là, tu peux le laisser activé.
Avec wireguard, on peut très bien faire la seconde config.

Math77 · Février 24, 2025, 2:17

Intéressant… les freebox permettent de setuper des VPN Wireguard et OpenVPN.

Les app de providers VPN permettent le split tunneling mais je n’en ai pas trouvé qui permettent de paramétrer l’IP de la box…

Et reste un sujet important : après ça, fini les Alexa, Google Assistant, etc…

golfvert · Février 24, 2025, 2:23

Pour moi, ce n’est pas un problème. Siri et ses copains qui écoutent chez moi, c’est non

ddfdom · Février 24, 2025, 2:25

Ça se modifie côté client avec la directive allowed-ips
Avec par exemple allowed-ips 192.168.88.0/24 tu actives le split tunneling

ddfdom · Février 24, 2025, 2:26

Tourne toi vers matterbridge projet jeune mais qui permet d’utiliser les assistants en local

En même temps exposer son home assistant avec le minimum de sécurité n’a rien de dangereux

Digitql · Février 26, 2025, 11:51

Cest exactement ce que j’ai fait. Et dans wireguard tu peux ne selectionner que le routage pour ton app wireguard ainsi si tu as android auto sans fil, tu n’as pas de conflit avec le vpn

Dan92 · Février 26, 2025, 12:17

On peut déjà restreindre les tentatives de connexions sur HA si on met de règles de firewall limitant les IP par exemple à la France à condition d’avoir un firewall qui permet de le faire.

On peut aussi bloquer le ping, et ne pas utiliser le port 443 pour HA mais un port au-dessus de 1024.

Avant je passais par OpenVPN pour accéder à HA mais depuis je suis passé en accès HTTPS c’est vraiment plus confortable.

Si on a un nom de domaine, Cloudflare peut être une solution intéressante si on prend le temps de lire la doc pour la configuration.