Attention, tu dis que s'il y a eu un "Login attempt failed" en local, c'est qu'un intrue à tenté de se connecter. Cependant, il arrive qu'une de mes tablettes ou téléphones tente une connection sans succès. (Va savoir pourquoi.) Alors, j'ai régulièrement ce message d'erreur. Par contre, j'ai eu une attaque il y a quelques jours, d'une adresse IP d'Europe de l'est. J'avais oublier de refermer le port 8123 après avoir fait quelques testes.
si j'ai bien compris un brut force et un teste de plusieurs mots de passe teste a la suite il faudrais juste faire une automatisation darret de la machine au bout de 5 tentative ca serait pas mal
@@makernix ça rajoute quand même une grosse couche en plus! Et tous dépend du deuxième facteurs, un code TOTP est moins robuste que fido2 ! Pour casser fido2 c'est très compliqué... Mais malheureusement pas compatible HA actuellement...
"Si ta box réponds au ping c'est pas bon" : faut arrêter de répandre des légendes urbaines. En quoi ICMP est un protocole faillible ? Dans 99% des cas HA est exposé via le port 443 et/ou 8123: a quoi ca sert de désactiver l'ICMP puisque l'attaquant sait très bien que l'IP est UP : elle réponds en TCP/443. L'ICMP il s'en contrefiche.. Telnet/nmap/curl/firefox lui ont déja donné la réponse ;) Un peu dommage aussi que tu n'abordes pas l'aspect le plus important de la Cyber : les mises à jours. Même si tu as du MFA et un mot de passe complexe, s'il y a une CVE qui touche la partie authentification (AU HASARD : libssh ..) de ton HA : tu es mort dans le film. Avant même de penser au password strong, il faut patcher ses applicatifs et les systèmes qui les portent. Sur le reste, assez d'accord avec toi, même si je trouve la démo de fuzzing un peu limite .. "Ne le faites pas, mais je vous montre comment faire". Pour ceux qui trouvent la démo simple : l'auteur de la vidéo oublie de préciser qu'il connait le login a l'avance et qu'il ne cherche qu'a deviner le mot de passe. Deviner le couple login/mot de passe, meme avec un password simple, est quasi impossible. My 2 cents
Trop fort ton attaque man in the middle. SI je vais un parallèle pour les utilisateurs novice, c'est comme si vous commencer par donner les clés de votre maison à des voleurs et qu'ils regardent ce qui rentre et ce qui sort. C'est complètement impossible en tout cas sur un réseau maison. Il faut comme on vous le montre modifier votre navigateur pour activer le proxy qui va envoyer les infos chez les hackers.... Avec le titre PutaClic franchement pas top la video.
C’est l’attaquant qui modifie son navigateur à lui il suffit d’avoir un accès à home assistant tu en trouve des milliers sur des sites spécialisé en scan de port. Il semblerait qui tu n’a pas regardé la vidéo entièrement ou pas compris ce qui était fait 😉
slt tres tres bonne video et la morale de cette histoire c'est que l'on a toujours presenté Linux comme la solution car fiable impossible a pirate en fait c'est une vraie passoire alors qu'est ce qui motive de passer a Linux maintenant quans a home assitant il y a une tres forte communauté mais qui a t-il comme personnage dans cette commmunaute????????? et linux et tellement envahi de modules que le risque est grand donc by by HA pour l'instant
Linux une vrai passoire?????? Impossible à pirater???? Comme toujours le problème ce n'est pas le logiciel mais la personne derrière l'écran. Si les gens arrêtait de faire n'importe, il n'y aurait pas de problème de sécurité
Hello, Jeedom c'est encore plus simple :) Aucun système n'est sécurisé, par contre pour Linux il y a énormément d'outils pour se sécuriser. La sécurité n'est pas par défaut.
Salut, sympa la vidéo, c'est dommage tu ne vas pas en profondeur, par exemple rajouter les entêtes de sécurité, configurer le vpn pour un accès extérieur, ajouter un certificats TLS sur son réseau si on passe par internet et t'absolument nécessaire même en plus du VPN, passer par cloudflare, et pour le ping par contre c'est totalement faux, ça n'empêchera personne de t'attaquer alors certes peut-être à la limite ceux qui savent pas ce qu'ils font mais sinon ça empêche personne, tu ajoutes le flag "-Pn" et hop t'as bypass, pour ce qui est de robot, certains s'arrêteront mais les autres continueront.
Sujet captivant ! Je suis preneur pour d’autres vidéos sur ce sujet. Quels sont tous les moyens disponibles pour tenter de contrer des attaques ? La double authentification est-elle efficace ? Les logiciels antivirus offrent-ils une solution, comme masquer l’adresse IP, par exemple ? … Hâte de visionner tes prochaines vidéos sur le sujet!!! Merci à toi.
Les attaques de ce type ne sont pas efficace avec un vrai mot de passe. Mais a mon avis, il y a plein d'autres méthodes. Notamment tous les logiciels piratés qui peuvent parfois contenir des bouts de codes malveillant. Les hackeurs s'en servent après en en faisant des ordinateurs zombies pour attaquer des grosses compagnies sans que le propriétaire s'en rende compte. Ou pour pirater leurs vies privées et leurs comptes bancaires,
Le port knocking (voir wikipedia) est un bon moyen de protection, assez fastidieux à mettre en place cependant. La double authent toujours tu utiliseras :).
Ton ip n'est jamais vraiment masqué, certes elle le sera au site web que tu visites mais si tu mets en place un proxy ou un vpn hébergé chez un hébergeur, et bien c'est ton hébergeur qui aura ton ip et qui verra tout ton trafic, faut mettre en place les entêtes de sécurité, pour le vpn passer par ton propre vps pour éviter ce problème, en vrai changer d'ip ne sert à rien à ça ralentira plus l'accès à ton serveur ha, car en fait c'est quoi "masquer son ip" ? C'est juste passer par le pc de qqun d'autre qui fait office de rebond et qui se connecte à ta place au site que tu visites.
bonjour, bravo pour cette vidéo, c est la 1ere fois que je vois ce genre de vidéo. A la question sommes nous intéressé par d autres contenus de ce genre, la réponse est OUI !
Super sujet. C'est vrai quand l'ont pense, avoir accès a HA on peut tout a fait voir les activités , jouer des alarmes et que sais je encore. Encore merci
On sent qu'Il y a du potentiel c'était un peu putaclic, je reste sur ma faim... home assistant derrière un reverse proxy en https + activation de l'authentification forte native, on est déja au delà de ces attaques de bruteforce et MITM. Et pourtant, je suis persuadé qu'il reste tout un tas de sécu à renforcer. Je m'attendais plutôt à aller au delà de ça
Petite question : il n’y a pas moyen bloqué l’adresse IP d’une personne qui ferait une attaque et qui se trompe après 3 ou 5 tentatives infructueuses ?
Bonjour et merci pour cette vidéo ! Très preneur aussi d'une suite sur la cybersécurité liée à Home Assistant. J'ai sécurisé mon mot de passe jusqu'à présent trop vulnérable ... mais ... cela m'a couté une soirée casse tête ! En effet je me suis rendu compte (après pas mal de temps malheureusement) qu'un changement de mot de passe de HA entraine la suppression des jetons long durée générés précédemment. Du coup Alexa (liée à HA par la méthode gratuite décrite par les Alexiens) ne fonctionnait plus avec HA ... Tout est rentré dans l'ordre , mais voila au cas où , c'est bon à savoir ...
Merci, pour cette vidéo instructive. Une partie sur les vpn et approfondir le problème du port 22. Le fonctionnement et le paramétrage des firewall Je suis preneur
C'est vraiment efficace lnhostoire de la phrase en tant que mot de passe ? On disait a une epoque de ne pas utiliser de mot du dictionnaire, et la on fait une phrase. Il suffit de faire une attaque en testant plusieurs mots du dictionnaire, je trouve étrange que ce mot de passe soit considéré comme long à craquer.
Oui car il y a plus de mots que de lettres le tout est de mettre plusieurs mots et si possbie qui n'ont rien a voir entre eux averc caratère spécial. Les estimations sont pas très précises ça dépendra du dictionaire de l'attaquant
J'aime bien le thème de cette vidéo, cependant elle me laisse sur ma faim. Moi aussi j'ai eu ce message sur mon HA, et j'aurais aimé savoir par exemple, comment connaitre le nombre de tentative qu'il y a eu, et surtout si il y a finalement eu une connexion OK ou si toutes les connexions ont échoué. Comment savoir quel compte est connecté en ce moment même à HA et depuis quel IP ? Y a t'il un journal des connexions KO et OK ? je suis un nouvel utilisateur de HA et j'avoue ne pas encore avoir trop regardé. Pour ma part suite au message, j'ai activé la double authentification. Je viens de désactiver la réponse au ping (merci à toi, j'avais oublié). Une vidéo sur la sécurisation de HA suite à une nouvelle installation serait super, par exemple j'ai vu qu'il y avait des comptes systèmes, faut il changer leurs mots de passe ? Savoir aussi quels sont les comptes qu'il est normal de retrouver après une installation. Merci à toi, j'aime beaucoup tes vidéos.
Hello, Malheureusement, si je vais a fond dans tout les aspect, la vidéo durera 1h :) Je fais régulièrement des lives n'hésite pas à venir sur un des lives où l'on peut voir un sujet specifique Attention la double authentification ne fonctionne pas en SSH et une fois connecté en ssh on peut créer un user.
@@makernix je comprends, peut être faire une série de vidéos sur la sécurisation de Home Assistant. Je pense que c'est un sujet important. Pour la double authentification je n'ai pas activé le ssh, mais tu fais bien de le préciser pour d' autres lecteurs. J'espère être disponible un jour lors de tes lives, je passerai avec plaisir. Continue ton excellent travail, merci beaucoup 🙏
Bonjour, j'ai découvert ta chaine ce jour et je suis totalement nouveau dans la domotique, donc aucune connaissance du tout. Merci tout d'abord pour l'ensemble de tes videos, j'ai quelques heures à visionner. Peux tu me dire si la playlist "home assistant" est dans l'ordre de visionnage pour un noob comme moi ? Pour pouvoir apprendre dans le bon ordre et avancer petit à petit. Je souhaite domotiser un max ma maison, et j'aimerais commencer surtout avec les lumieres et les volants roulants pour permettre d'allumer/éteindre et fermer/ouvrir selon des déclencheurs spécifiques et des conditions merci de ta réponse bonne soirée
Bonjour, Pour l'attaque SSH, il faut soi-même ouvrir son firewall/router pour le permettre, c'est la responsabilité de l'utilisateur. Par contre, permettre l'attaque la plus connue via l'interface Web, est plus problématique car la majorité des gens activent leur Home Assistant pour qu'il soit joignable sur Internet. Or, il est possible que les devs de Home Assistant mettent en place certains contrôles ( nombre de tentatives/seconde/minutes, blocage progressif après X tentatives pour 1 login). Est-ce que cela a été reporté chez les devs?
@@guillaumeharran4402 Bonjour, mon point est que si je choisis Home Assistant, je ne dois pas augmenter mon niveau de connaissance de cybersécurité ;-). Les points que soulève l'auteur, plus particulièrement un brute force sur l'authentification Web, devrait pouvoir se gérer via le code même du programme ( quitte à proposer une extension/module fail2ban). L'attaque brute force est connue depuis que les ordinateurs existent. Que ce soit aussi trivial avec Home Assistant met en péril bon nombre d'utilisateurs n'ayant pas la connaissance de fail2ban ou d'autres aspects d'attaque. L'auteur le mentionne, il n'y a pas de notifications et, la première défense est un mot de passe trèèèèèès long. Mais je persiste que les devs de Home Assistant (comme bcp de devs partout), plutôt que de sortir du code rapidement, doit tenir compte de l'aspect sécurité.
C’est possible de bloquer cela avec ip_ban mais ce n’est pas activé par défaut, le mieux est de ne pas rendre directement accessible depuis l’extérieur
Déjà, ouvrir son réseau sur Home Assistant, c'est une grave erreur. Je préconise d'utiliser un réseau wifi spécifique pour la domotique, réseau qui pour ma part n'est connecté à Internet que lorsque j'ai besoin de faire une mise à jour.
Effectivement, c'est le plus sécurisant. Mais pour que HA communique avec nos smartphones (automatisation par rapport au GPS pour l'alarme par exemple), pas le choix !
@@davidbrasselet406 et bien il suffit d'ajouter un routeur Wifi sur lequel tu branche tous tes appareils IoT/domotiques, ainsi que le Home assistant. J'ai aussi branché un iPad que j'ai fixé au mur sur le même réseau, pour que la famille puisse facilement contrôler la maison (Lumières, capteurs, chauffage, volets, ...). Tout cela fonctionne de manière indépendante et sans internet et lorsque je veux le mettre à jour (de temps en temps), il me suffit de relier le WAN de ce routeur sur un LAN de ma box, qui elle, a le réseau internet :)
bitwarden,, ba tu vois sans faire le parano, chaque mdp généré aléatoirement, je fait bien.... pour mon infra, rien ne rentre, ma solution ..? tu fermes tout, un bon routuer derriere ta box, un Pfsense par exemple, tu montes un openVPN ( meme si je suis pas fan pour le debit, mais ça depanne bien, ) un Wiraguard... et la tu controle tout.... et ton routeur n'a qu'un seul port d'ouvert, et de plus y'a un fail2ban... ;);) merci pour cette video, tu m'a fait peur quand j'ai vu le titre :) :)
