JE ME SUIS FAIT HACKER MON HOME ASSISTANT !
Вставка
- Опубліковано 5 лип 2024
- Découvrez les secrets de la cybersécurité pour protéger votre Home Assistant ! Dans cette vidéo, je vous emmène dans le monde du hacking éthique pour vous montrer comment les pirates agissent pour pirater Home Assistant. Vous verrez des démonstrations éthiques de leurs méthodes, ce qui vous permettra de mieux comprendre les vulnérabilités potentielles.
Mais ne vous inquiétez pas, nous ne laissons pas votre domotique sans défense ! Vous découvrirez également les meilleures pratiques pour sécuriser votre Home Assistant contre les attaques par force brute. Grâce à des astuces et des conseils concrets, vous serez en mesure de renforcer la sécurité de votre installation domotique et de dormir sur vos deux oreilles.
Ne manquez pas cette vidéo essentielle pour tout propriétaire de Home Assistant cherchant à protéger sa maison intelligente. Abonnez-vous, aimez et partagez pour aider votre communauté domotique à rester en sécurité en ligne ! - Навчання та стиль
bonjour, bravo pour cette vidéo, c est la 1ere fois que je vois ce genre de vidéo. A la question sommes nous intéressé par d autres contenus de ce genre, la réponse est OUI !
Merci beaucoup pour cette vidéo très instructive, je suis rassuré. Vivement la suite.
Bonjour Mk,
Merci pour cette vidéo.
N’hésite pas à nous creuser le sujet’ je suis preneur.
Bon dimanche à tous 👍
Super vidéo, impatient de voir la suite !
Vidéo super cool mais ça fait très peur !
a bientôt pour la suite et encore merci
super !!! merci pour ces infos et on attend avec impatience la suite pour être ultra sécure !!!!!
oui, très bonne vidéo, tu es pédagogue.
ne serais t'il pas possible de mettre un temps d'attente entre chaque essai de mot de passe ?
Passionnant et très instructif, merci beaucoup.
Merci pour cette vidéo c'est "LE" sujet incontournable à l'heure actuel
Sujet captivant ! Je suis preneur pour d’autres vidéos sur ce sujet. Quels sont tous les moyens disponibles pour tenter de contrer des attaques ? La double authentification est-elle efficace ? Les logiciels antivirus offrent-ils une solution, comme masquer l’adresse IP, par exemple ? …
Hâte de visionner tes prochaines vidéos sur le sujet!!! Merci à toi.
Hello, Il y a différentes attaques, j'en ai déjà cité dans cette vidéo, je vais continuer a creuser le sujet pour vous faire d'autres vidéos ;)
Les attaques de ce type ne sont pas efficace avec un vrai mot de passe. Mais a mon avis, il y a plein d'autres méthodes. Notamment tous les logiciels piratés qui peuvent parfois contenir des bouts de codes malveillant. Les hackeurs s'en servent après en en faisant des ordinateurs zombies pour attaquer des grosses compagnies sans que le propriétaire s'en rende compte. Ou pour pirater leurs vies privées et leurs comptes bancaires,
Bonjour,
Merci ! j'en apprends à chaque fois et surtout tes vulgarisations sont super pour un ab initio.
Merci pour cette vidéo. J’adore. Alors si vous pouviez continuer sur la sécurisation de HA, ça serait top. Par exemple comment mettre un VPN. A plus
Trés intéressant, Merci
Merci, pour cette vidéo instructive. Une partie sur les vpn et approfondir le problème du port 22. Le fonctionnement et le paramétrage des firewall Je suis preneur
Merci
Sujet au top 🎉
Superbe vidéo ! Intéressé d'avoir plus de tips and tricks sur la cybersécurité ;)
Je suis complètement prenneur de tes vidéos. Excellent travail
Bonjour et merci pour cette vidéo ! Très preneur aussi d'une suite sur la cybersécurité liée à Home Assistant.
J'ai sécurisé mon mot de passe jusqu'à présent trop vulnérable ... mais ... cela m'a couté une soirée casse tête ! En effet je me suis rendu compte (après pas mal de temps malheureusement) qu'un changement de mot de passe de HA entraine la suppression des jetons long durée générés précédemment. Du coup Alexa (liée à HA par la méthode gratuite décrite par les Alexiens) ne fonctionnait plus avec HA ...
Tout est rentré dans l'ordre , mais voila au cas où , c'est bon à savoir ...
Bonjour!
Trop top et incroyable à la fois.
Oui tu peux faire la vidéo ( complète) : "comment ne pas de Hacker son Home Assistant pour les Nuls"🤣😂
Vidéo vraiment très instructif et passionnant, je suis aussi adepte pour voir une nouvelle vidéo sur ce sujet
Vidéo intéressante Merci
je suis intéressé par ce genre de vidéo alors n'hésite pas
Très fort le teasing ! Belle vidéo Bravo ! Hâte de voir si le connais la suite :)
Je decouvre c'est intéressant merci
j'adore ! il faut continuer comme ça :)
merci bien pour ce joli travail
T'es un bon toi ! T'es un bon.....
les vidéos sont sympas mais la musique est barbante hélas !
Hello,
Vaste sujet la sécurité informatique mais sujet intéressant.
Top
Incroyable, on en veut plus comme ça !
merci, je voyais ca aussi
j'ai du me faire hacker
Hello, pour ma part j'ai ouvert aucun port sur la box, je passe en cloudflared (tu es l'auteur du tuto je crois)
Merde ma Freebox Révolution, on peut pas désactiver le ping !!! Ehhh tu nous laisses pas comme ça !!!
Débranche la câble fibre tu verra ça va bloquer le Ping 🤣 (Je plaisante bien sûr !)
Merci ! Je croyais effectivement qu'il y avait 1 notification par tentative..
Hé bien non 😱
a tu déjà sécurisé HA avec authentik ?
Bonjour,
j'ai découvert ta chaine ce jour et je suis totalement nouveau dans la domotique, donc aucune connaissance du tout.
Merci tout d'abord pour l'ensemble de tes videos, j'ai quelques heures à visionner.
Peux tu me dire si la playlist "home assistant" est dans l'ordre de visionnage pour un noob comme moi ?
Pour pouvoir apprendre dans le bon ordre et avancer petit à petit.
Je souhaite domotiser un max ma maison, et j'aimerais commencer surtout avec les lumieres et les volants roulants pour permettre d'allumer/éteindre et fermer/ouvrir selon des déclencheurs spécifiques et des conditions
merci de ta réponse
bonne soirée
Est ce que la double authenfication renforce la sécurité ?
Oui et non
Il faudrait pour cela que tout les comptes utilisateurs ont la double authentification
Attention, tu dis que s'il y a eu un "Login attempt failed" en local, c'est qu'un intrue à tenté de se connecter. Cependant, il arrive qu'une de mes tablettes ou téléphones tente une connection sans succès. (Va savoir pourquoi.) Alors, j'ai régulièrement ce message d'erreur.
Par contre, j'ai eu une attaque il y a quelques jours, d'une adresse IP d'Europe de l'est. J'avais oublier de refermer le port 8123 après avoir fait quelques testes.
J'ai pareille avec ma tablette.
Pareil avec mon homeassistant companion sur iphone...mais pas de faille de sécurité pour autant
si j'ai bien compris un brut force et un teste de plusieurs mots de passe teste a la suite il faudrais juste faire une automatisation darret de la machine au bout de 5 tentative ca serait pas mal
❤❤❤
Bonjour, Pour l'attaque SSH, il faut soi-même ouvrir son firewall/router pour le permettre, c'est la responsabilité de l'utilisateur. Par contre, permettre l'attaque la plus connue via l'interface Web, est plus problématique car la majorité des gens activent leur Home Assistant pour qu'il soit joignable sur Internet. Or, il est possible que les devs de Home Assistant mettent en place certains contrôles ( nombre de tentatives/seconde/minutes, blocage progressif après X tentatives pour 1 login). Est-ce que cela a été reporté chez les devs?
Il suffit de mettre fail2ban... Cette vidéo est juste pute à clic..
@@guillaumeharran4402 Bonjour, mon point est que si je choisis Home Assistant, je ne dois pas augmenter mon niveau de connaissance de cybersécurité ;-). Les points que soulève l'auteur, plus particulièrement un brute force sur l'authentification Web, devrait pouvoir se gérer via le code même du programme ( quitte à proposer une extension/module fail2ban). L'attaque brute force est connue depuis que les ordinateurs existent. Que ce soit aussi trivial avec Home Assistant met en péril bon nombre d'utilisateurs n'ayant pas la connaissance de fail2ban ou d'autres aspects d'attaque.
L'auteur le mentionne, il n'y a pas de notifications et, la première défense est un mot de passe trèèèèèès long. Mais je persiste que les devs de Home Assistant (comme bcp de devs partout), plutôt que de sortir du code rapidement, doit tenir compte de l'aspect sécurité.
C’est possible de bloquer cela avec ip_ban mais ce n’est pas activé par défaut, le mieux est de ne pas rendre directement accessible depuis l’extérieur
Le titre est peut être pute à clic mais dans la vidéo je parles bien de fail2ban 😂
Moi je me demande ce qu’il se passe avec les brouilleurs de réseaux
bitwarden,, ba tu vois sans faire le parano, chaque mdp généré aléatoirement, je fait bien.... pour mon infra, rien ne rentre, ma solution ..? tu fermes tout, un bon routuer derriere ta box, un Pfsense par exemple, tu montes un openVPN ( meme si je suis pas fan pour le debit, mais ça depanne bien, ) un Wiraguard... et la tu controle tout.... et ton routeur n'a qu'un seul port d'ouvert, et de plus y'a un fail2ban... ;);) merci pour cette video, tu m'a fait peur quand j'ai vu le titre :) :)
C’est pas mal en effet, ma vidéo de demain concerne un VPN un peu spécial ça t’intéressera sûrement
C'est vraiment efficace lnhostoire de la phrase en tant que mot de passe ? On disait a une epoque de ne pas utiliser de mot du dictionnaire, et la on fait une phrase. Il suffit de faire une attaque en testant plusieurs mots du dictionnaire, je trouve étrange que ce mot de passe soit considéré comme long à craquer.
Oui car il y a plus de mots que de lettres le tout est de mettre plusieurs mots et si possbie qui n'ont rien a voir entre eux averc caratère spécial. Les estimations sont pas très précises ça dépendra du dictionaire de l'attaquant
J'aime bien le thème de cette vidéo, cependant elle me laisse sur ma faim. Moi aussi j'ai eu ce message sur mon HA, et j'aurais aimé savoir par exemple, comment connaitre le nombre de tentative qu'il y a eu, et surtout si il y a finalement eu une connexion OK ou si toutes les connexions ont échoué. Comment savoir quel compte est connecté en ce moment même à HA et depuis quel IP ? Y a t'il un journal des connexions KO et OK ? je suis un nouvel utilisateur de HA et j'avoue ne pas encore avoir trop regardé. Pour ma part suite au message, j'ai activé la double authentification. Je viens de désactiver la réponse au ping (merci à toi, j'avais oublié). Une vidéo sur la sécurisation de HA suite à une nouvelle installation serait super, par exemple j'ai vu qu'il y avait des comptes systèmes, faut il changer leurs mots de passe ? Savoir aussi quels sont les comptes qu'il est normal de retrouver après une installation. Merci à toi, j'aime beaucoup tes vidéos.
Hello, Malheureusement, si je vais a fond dans tout les aspect, la vidéo durera 1h :) Je fais régulièrement des lives n'hésite pas à venir sur un des lives où l'on peut voir un sujet specifique
Attention la double authentification ne fonctionne pas en SSH et une fois connecté en ssh on peut créer un user.
@@makernix je comprends, peut être faire une série de vidéos sur la sécurisation de Home Assistant. Je pense que c'est un sujet important. Pour la double authentification je n'ai pas activé le ssh, mais tu fais bien de le préciser pour d' autres lecteurs. J'espère être disponible un jour lors de tes lives, je passerai avec plaisir. Continue ton excellent travail, merci beaucoup 🙏
Comment savoir les ports ouverts ?
Ou ça ? sur ta box ? sur ton HA ?
Sur la box internet, par default tout est fermé en entrée.
Utilise ce site par exemple : www.nmmapper.com/sys/networkmapper/nmap/online-port-scanning/
Déjà, ouvrir son réseau sur Home Assistant, c'est une grave erreur. Je préconise d'utiliser un réseau wifi spécifique pour la domotique, réseau qui pour ma part n'est connecté à Internet que lorsque j'ai besoin de faire une mise à jour.
Bonjour, c’est intéressant mais comment on fait ! jamais vu cela
Effectivement, c'est le plus sécurisant. Mais pour que HA communique avec nos smartphones (automatisation par rapport au GPS pour l'alarme par exemple), pas le choix !
Salut Jeroneau, tu fais cela avec un VLAN ?
@@makernix j'ai ajouté un routeur Wifi 2.4G en plus (2.4G car certains iot ne supportent pas plus).
@@davidbrasselet406 et bien il suffit d'ajouter un routeur Wifi sur lequel tu branche tous tes appareils IoT/domotiques, ainsi que le Home assistant. J'ai aussi branché un iPad que j'ai fixé au mur sur le même réseau, pour que la famille puisse facilement contrôler la maison (Lumières, capteurs, chauffage, volets, ...).
Tout cela fonctionne de manière indépendante et sans internet et lorsque je veux le mettre à jour (de temps en temps), il me suffit de relier le WAN de ce routeur sur un LAN de ma box, qui elle, a le réseau internet :)
Le plus important, 2FA !!
Tu verra dans les prochaines vidéo que le 2FA ne résout pas tout
@@makernix ça rajoute quand même une grosse couche en plus! Et tous dépend du deuxième facteurs, un code TOTP est moins robuste que fido2 ! Pour casser fido2 c'est très compliqué... Mais malheureusement pas compatible HA actuellement...
On sent qu'Il y a du potentiel c'était un peu putaclic, je reste sur ma faim... home assistant derrière un reverse proxy en https + activation de l'authentification forte native, on est déja au delà de ces attaques de bruteforce et MITM. Et pourtant, je suis persuadé qu'il reste tout un tas de sécu à renforcer. Je m'attendais plutôt à aller au delà de ça
Donc c'est facile de pirater HA...quand quelqu'un est déjà sur ton réseau.
Bon.
Ca va.
Vidéo très putaclic !
Pourquoi le contenus n’est pas intéressant ?
Mfa...
T
Pourquoi vous me tutoyez?
slt tres tres bonne video et la morale de cette histoire c'est que l'on a toujours presenté Linux comme la solution car fiable impossible a pirate en fait c'est une vraie passoire alors qu'est ce qui motive de passer a Linux maintenant quans a home assitant il y a une tres forte communauté mais qui a t-il comme personnage dans cette commmunaute????????? et linux et tellement envahi de modules que le risque est grand donc by
by HA pour l'instant
Linux une vrai passoire?????? Impossible à pirater???? Comme toujours le problème ce n'est pas le logiciel mais la personne derrière l'écran. Si les gens arrêtait de faire n'importe, il n'y aurait pas de problème de sécurité
Hello, Jeedom c'est encore plus simple :) Aucun système n'est sécurisé, par contre pour Linux il y a énormément d'outils pour se sécuriser. La sécurité n'est pas par défaut.
Pas cool pour pirater alarmo de ton voisin pour rentrer chez lui.....
٠٠0
ah bah merci ça m"a permis de voir que je pouvais me faire pinger