La domotique devient de plus en plus présente dans nos maisons, et l’un des principaux intérêts de celle-ci est de pouvoir être contrôlée à distance depuis son smartphone, sa tablette ou encore son ordinateur portable… Nous allons détailler ici quelques règles de sécurité liée à la configuration informatique d’une installation domotique MyHome de chez Legrand / Bticino / Arnould, mais ces conseils peuvent également servir pour d’autres systèmes ou box domotiques ( Z-wave, zigbee…)
Ce qui peut être compliqué dans ce domaine, c’est le mélange entre 2 univers très différents, celui de l’électricité avec celui de l’informatique. Il est donc assez rare et difficile d’avoir toutes les connaissances requises dans ces 2 domaines afin de configurer correctement toute sa maison… Il est fréquent de voir des failles de sécurité assez importantes, dues à des problèmes de configuration, et laissant la porte grande ouverte à des personnes pouvant avoir de mauvaises intentions (pirate informatique / Hacker) !
Nous allons donc vous donner des conseils pour sécuriser votre installation domotique avec votre box ADSL afin de vous protéger du risque de piratage.
Le test de votre installation
Ci-dessus vous avez une impression d’écran d’un outil informatique appelé un scanner de port, pour la plupart d’entre vous cela ne vous dira surement rien, mais pour d’autres cela peut être très utile… À partir d’une adresse IP internet, ce logiciel arrive à connaitre tous les ports qui sont ouverts sur internet par votre box ADSL. Par défaut la plupart des box ADSL sont normalement configurées avec un minimum de sécurité, mais suivant la configuration que vous effectuerez par la suite cela peut devenir dangereux si vous ne faites pas les bons paramétrages…
L’idée aujourd’hui étant de sécuriser une installation MyHome domotique de chez Legrand / Bticino / Arnould, j’ai effectué les tests de sécurité sur l’installation d’un client avec son accord. Celui-ci dispose d’une passerelle domotique OpenWebNet référence F454 de chez Legrand. Comme vous pouvez le voir sur l’impression d’écran ci-dessus le port 20 000 est ouvert et il est accessible depuis internet, la simple commande « nc <adresse_ip> 20000 » nous retourne un code de confirmation du serveur domotique. Un problème !? Oui et un gros !
Car si vous téléchargez une application IOS ou Android qui gère le système domotique MyHome, ou encore si vous utilisez MyOmBox en saisissant l’adresse IP internet de cette personne il est alors possible de se connecter directement chez lui et de gérer son installation, sans mot de passe, sans aucune sécurité !!! Il suffit juste de connaitre son adresse IP internet.
La solution pour résoudre ce problème
Pour sécuriser votre installation domotique, cela est relativement simple, il faut limiter au maximum les ports ouverts vers l’extérieur (sur internet). Nous avons conçu MyOmBox dans ce sens, notre système a la possibilité de se connecter directement sur votre réseau local avec votre passerelle domotique, vos caméras ip, votre station météo Netatmo et vos objets connectés… De ce fait vous n’avez pas besoin d’autoriser les ports internet pour accéder à chacun de vos appareils, mais seulement celui de MyOmBox !
Ci-dessous une impression d’écran d’une Livebox de chez Orange. Seule MyOmBox est accessible depuis internet sur le port 17235, celui-ci est ensuite redirigé vers le port HTTPS sécurisé de MyOmBox, le port 443. Pour rappel seul les ports 80 (http) et 443 (https / SSL) sont accessibles sur MyOmBox. Ensuite c’est MyOmBox qui se charge de récupérer et de communiquer avec votre installation sur votre réseau local. Avec cette configuration seule MyOmBox est accessible depuis internet et seulement sur le port sécurisé en SSL 443 (les données sont donc cryptées) ! Avec la configuration ci-dessous il est possible de se connecter depuis l’extérieur (connexion data GSM ou WiFi en vacances) à cette MyOmBox en tapant l’adresse https://MON_IP_INTERNET:17235 .
Conclusion
Le but ici n’est pas de vous faire peur, mais de vous sensibiliser sur le fait que les produits ne sont pas toujours en cause dans les piratages, il y a aussi les erreurs de configuration… Si vous utilisez MyOmBox pour gérer votre installation domotique MyHome vous devez configurer dans MyOmBox l’adresse IP locale de votre webserveur / passerelle domotique, par exemple: 192.168.1.35 .
De cette manière vous n’aurez besoin d’avoir que le port 443 ou 80 de MyOmBox accessible depuis Internet. Il est donc fortement recommandé de supprimer le partage du port 20 000 de votre passerelle domotique MyHome sur internet.
Il est également conseillé de mettre un mot de passe d’au moins 8 caractères pour vous connecter à votre système, avec des lettres et des chiffres. Vous pouvez également activer le mode « Sécurité renforcée » de MyOmBox disponible dans le menu sécurité de votre administration. Celui-ci vous alerte par mail automatique si une personne essaye de se connecter à votre interface après avoir saisi 6 fois un mauvais mot de passe… Cela permet d’éviter les attaques de type « brute force » (test de plusieurs combinaisons de mot de passe via un logiciel de cracking).
Il semble que ce ne soit pas assez clair dans l’explication. Le problème de base est l’accès sans authentification. Passer par une connexion chiffrée ne règle pas le souci. Le chiffrement ne protège que le contenu, pas l’accès.
Si myHome proposait un accès authentifié, cela ne poserait pas de souci et ne nécessiterait pas l’ajout d’une boite auxiliaire.
Bonjour,
Oui en effet le problème de base est un accès sans authentification possible sur certaine passerelle domotique. L’article a pour but d’aider à la sécurisation de l’installation de clients, notamment pour les personnes qui utilisent un logiciel IOS et Android. J’ai en effet oublié de préciser que MyOmBox permet d’améliorer la sécurité d’une installation domotique MyHome 🙂 Merci pour votre retour.
Bonjour, Auriez-vous un logiciel à recommander pour scanner les ports ???? (sous w8.1 64bits)
Bien cordialement
Bonjour,
Il existe http://www.advanced-ip-scanner.com/fr/ qui permet de scanner le réseau et de voir également les ports ouverts sur les machines. Attention toutefois à l’emplacement d’où vous lancez l’analyse. Une analyse de port de votre Box ADSL doit se faire en dehors de votre réseau local sinon aucune information ne sera retournée. De plus certaines BOX ADSL intègrent maintenant des protections contre ce genre d’outil…
Merci pour l’info, j’essaie de m’en débrouiller… Myombox mise en service samedi et ça fonctionne même si je continue à explorer les configurations possibles n’étant pas un pro de l’informatique et des réseaux….
Donc pour pouvoir faire une analyse de port correcte de la box adsl, il faudrait au préalable désactiver temporairement les protections et se connecter depuis l’extérieur du réseau local ??? Il suffit de rentrer l’ip de la box dans la barre de recherche et lancer le scan ? Si la box est protégée, est-ce qu’un message d’erreur doit nécessairement apparaître ???
Bonsoir,
Il ne faut pas désactiver les protections, l’idée est de protéger l’installation… Le test du scan de port est à réaliser depuis une connexion extérieure, via un autre réseau wifi ou un réseau 3G par exemple. Non pas de message d’erreur spécifique. Cela retourne aucune information si aucun port n’est ouvert.
Salut
Je me pose juste une question, lors des tests il ni aurait pas un souci, de configuration de serveur web? Pour le port 20000 on doit configurer l habilitation des adresses IP pour une connexion sans mot de passe open. Si l appli n’en gère pas l authentification par mot de passe open on est obligé d ouvrir toute les adresses ip et la danger, mais sinon non, enfin je suis pas expert en sécurité et je sais pas si cette authentification est efficace. Mais en tout cas d après mes tests si pas d authentification on arrive a rien simplement même si le port 20000 est ouvert.
Dans mon cas c’est 0 port ouvert et utilisation d’un vpn.
Bonjour,
En effet sur le principe c’est bien cela. Normalement il est possible de se connecter soit via un mot de passe ( mais la redirection de port est tout de même obligatoire ), soit via les habilitation d’adresse IP. Je suppose que la plupart des installations testé avait donc une autorisation via les plages d’IP et non via mot de passe, car les trames sont accessibles. L’autre problème est en effet de trouver un logiciel qui gère bien cette connexion par mot de passe. L’avantage de MyOmBox est qu’il communique directement sur le réseau local, il est donc possible de n’habiliter qu’une seule adresse IP, c’est l’application qui discute ensuite directement avec MyOmBox depuis internet…