Calaos, Home Automation Forum

Full Version: Sécurité autour de la domotique (sujet général)
You're currently viewing a stripped down version of our content. View the full version with proper formatting.
Pages: 1 2
Discutons un peu sécurité autour de nos installations Domotique, pour faire suite à ces derniers messages:
http://calaos.fr/forum/Thread-Carte-ethe...41#pid1641
A mon humble avis, la sécurité est un combat de tous les jours. Je ne pense pas être spécialement parano, mais peut-être juste un peu plus conscient que la moyenne des risques. Il ne faut pas se voiler la face, nos connexions Internet sont attaquées par des robots plusieurs dizaines de fois par jour, de façon automatique, à la recherche de la moindre faille connue.

La réponse que l'on entend souvent, qui me chose beaucoup, c'est "je ne suis pas la NASA pourquoi viendrait-on me pirater". Pour l'exploit de l'avoir fait, par curiosité, par voyeurisme, pour le vol, pour l'argent, etc... (qui n'a pas sur son ordi un scan de ses pièces d'identité? numéro de comptes, login messagerie, photos de la copine, etc.. tout se revend).

La domotique est encore marginal, mais demain, n'importe quelle maison peut-être piratée. Ce n'est plus juste un ordi ou deux en danger, mais la maison elle même. Là, c'est un risque majeur.

En entant souvent aussi que c'est pas de bol de tomber sur un super pirate capable de rentrer. Mais un, pas de bol ne veut pas dire ne rien faire pour s'en prémunir (tout comme un cambriolage physique), et deux, pirater un système mal protégé est du niveau lycée averti ou fac. Pas besoin d'être un génie pour utiliser une faille, il suffi d'être passionné d'informatique (= des milliers dans toutes les fac, bts, dut, etc).

Donc pour en revenir aux multiples IP sur la même NIC, oui pour tester, non pour la production.

Dernier point, pour Tony, tu indiques "pour forcer le wago" -> as-tu déjà essayé de te connecter en Web sur l'IP du Wago ? De tête, il n'y a pas de mot de passe, donc ce n'est pas "forcer" mais juste se connecter, donc niveau collège environ Big Grin
Allée, pour le fun un exemple bête. Les caméras TrendNet sont connue pour avoir eu un bug qui autorise n'importe qui à se connecter dessus, sans mot de passe, avec un lien particulier. Combien de milliers de particulier ont une caméra IP dispo sur le Net en pensant pour visualiser leur maison à distance, juste protégés par un mot de passe ? Ôh combien sécurité illusoire !

Et donc, on pouvait voir les cam des gens: la chambre d'un gamin, un salon d'un vieux, un bureau de change ! (si si, avec femme qui passe les liasses de billets à la machine à compter les billets, puis les mettre dans le coffre, etc), un bureau, etc.

Ô purée ! En recherchant les info sur TrendNet sur Google, je viens de tomber sur un bug concernant les caméras FOSCAM:
http://foscam.us/forum/mjpeg-54-firmware...tml#p40593
et la mienne est concernée ! On peut visualiser ma caméra sans mot de passe, deg. Firmware à mettre à jour !
Via l'IP du Wago dans une page web, on ne visualise que l'état...Peut-on faire autre chose depuis cette interface? Ah oui, j'ai un 842, donc pas serveur "complet" embarqué. C'est vrai qu'il me semble qu'avec un 841, il y a bcp plus de possibilités, là ça change tout.

Ben je suis aussi concerné par la foscam...Sad mais ça va, j'en ai qu'à l’extérieur...je me sentirais trop observé si j'en avais à l'intérieur.
En regardant sur le mien, c'est pareil, on peut prendre des informations (ip, mac, firmware, etc), mais il demande un pwd pour les menus de configuration.

Pour tes Foscam, tu peux downloader les firmwares ici: http://www.foscam.com/down3.aspx
Pour la FI89xxx, la mise à jour est en deux fois, le système puis la GUI, ça prend 10 minutes, simple.
Quelques remarques qui me viennent en lisant vos posts...

Le Wago a certes une page web, sur le 842 il n'y a pas de pass, sur les autres il y a un pass pour changer qq parametres genre l'adresse IP. Par contre on ne peut rien piloter avec la page web. Le principal soucis de sécurité de l'automate reside dans le fait qu'il utilise le protocole TCP/Modbus (un protocole d'automatisme, c'est aussi ce qu'utilise calaos_server). Le protocole ne comporte absolument aucune sécurité. Ca veut dire que n'importe quelle logiciel sachant faire du modbus peut activer une sortie de l'automate en envoyant une bete requete modbus...

Concernant les caméras, j'ai toujours eu le meme discours, à savoir: Ne jamais exporter les flux des cameras IP directement sur le net... Avec calaos les cameras ne sont pas exportés sur le net directement, mais c'est calaos qui donne les images. Alors certes calaos (ou plutot calaos-os) peut tres bien avoir des failles, mais perso j'ai plus confiance dans calaos-os que les cameras chinoises niveau sécurité Wink
Ca permet aussi d'utiliser calaos pour avoir la meme securité pour toutes les cameras chez soit. Donc si on a plusieurs modeles/marques, on s'embete pas a devoir suivre les soucis de chaque camera...
Tout à fait d'accord avec toi Raoul concernant les caméras. Solution complémentaire, le VPN. Si je dois joindre mes caméras sans passer par Calaos, pour une raison ou une autre, j'ouvre un VPN pour être relié au réseau local.
Oui un VPN c'est une solution, mais ca reste tres contraignant a mettre en place pour des utilisateurs lambda...

Comment faire pour les applis mobiles calaos pour voir ses caméras?

En regle generales du https (comme c'est actuellement utilisé dans calaos) ca fait l'affaire. La seule brique a sécurisé c'est le serveur http dans calaos-os...
Pour mon réseau Info. j'ai mis en place un routeur D-Link DSR500N + un switch D-Link DGS1124, je n'ai pas regarder toutes leurs possibilités mais ils doivent proposer des filtrages IP + MAC pour pouvoir accéder depuis l'extérieur sur un appareil.

Es-ce que la mise en place de ce genre de filtrage peut être une solution ?

Enlever le DHCP du routeur est une solution ou cela ne serre à rien?
Non tout ca ne servira a rien si il y a une faille sur un service que tu exportes en dehors de ton reseau local... Ca va juste t'emmerder a utiliser ton reseau chez toi Wink
Pages: 1 2