Je me suis posé des questions sur la sécurité en général dans l’univers de HA (et de la domotique en général). Je vais rester relativement vague sur la technique pour ne pas tenter des personnes mal intentionnées de le reproduire (même si ca reste très simple).
J’ai donc été sur un moteur de recherche spécialisé IOT pour voir ce qui est exposé sur internet et lié à la domotique. J’ai filtré mes recherches sur la France mais c’est pareil partout ailleurs.
Et là, c’est des centaines d’instances avec du mqqt exposé sans login/mdp, du frigate…
J’ai ouvert une ou deux IP dans MQTT explorer pour voir si c’était réel tout ca. Et bien oui, ca se connecte et on voit toutes les données remonter. Ne faites pas ce que j’ai fait, du point de vue légal c’est sanctionnable par du pénal.
Je ne suis pas un expert de la sécurité informatique et ce post n’a pas l’intention d’être moralisateur, mais vérifiez vos ports/protocoles ouverts sur le web qui sont sans login! Les conséquences en matière de sécurité peuvent être désastreuses : imaginez un inconnu qui a le contrôle sur tout ou partie de votre domotique!
Je pense que ca fait pas de mal de vérifier de temps en temps que l’on a pas trop de services exposés. Moi ca m’arrive de tester des containers dockers et de laisser du login basique. On a vite fait des les oublier et de se retrouver avec des failles.
Le plus simple c’est de faire un tour sur la box et de lister les redirections…
Virer celles qui ne servent plus
Bannir l’usage des DMZ
Mais au final, c’est comme tout, faire en suivant bêtement un tuto sans se poser les questions de ce que ça fait, c’est prendre un risque. Si tu sais comment ça marche, tu sais sécuriser et exposer un port n’est pas forcément dangereux, mais si on ne se pose pas de questions, ou qu’on ne sait pas : on se rate.
Bonjour,
Parlant de home assistant, mqtt, frigate et autres ne doivent pas être exposés sur internet puisqu’il n’y a que le port 443 à ouvrir vers un reverse proxy et rien d’autre.
Après il faut bien évidemment sécuriser ha en changeant régulièrement le mot de passe, activer fail2ban, et pourquoi pas utiliser un firewall qui permet de bloquer les IP en provenance d’autres pays que la France. Ce dernier point n’empêchera pas les connexions au travers d’un VPN mais limitera quand même pas mal.
Ce qui m’a étonné aussi, c’est de voir des personnes avec du traefik ou du swag qui sont pour moi des outils un peu avancé dans l’auto-hébergement mais en même temps avec des prises Tasmota accessibles en deux clics.
Ceci dit, il y a pas longtemps je me suis rendu compte que j’avais un user sur home assisstant dont le login était mqtt et le pwd mqtt. J’avais du le créer en faisant des tests au tout début et je l’avais laissé.
Effectivement c’est une bonne idée de rappeler les bases mais déja effectivement n’exposer que les services nécessaires et compatibles avec une exposition sur le net (MQTT comme déja dit est un très bon exemple de service qui ne s’expose pas sur internet), et prendre l’habitude de toujours utiliser des vrais mots de passe même pour des comptes de test (le gestionnaire de mots de passe est fait pour ça) et penser aussi à ne laisser la coche de l’accès externe sur les comptes HA que pour ceux où c’est vraiment nécessaire.
Les services exposés sur l’extérieur sont aussi faits uniquement sur une liaison sécurisée en SSL pour éviter au maximum le simple sniff du traffic réseau pour récupérer des identifiants
Cacher quelque chose n’est en aucun cas une sécurité non plus (style utiliser des ports non standards !). En effet il y a des milliers/millions ? de bots sur le net qui passent leur temps à scanner les ip routables et les ports pour trouver des services ouverts et éventuellement les exploiter
