EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Discussions concernant la domotique, les objets connectés et tout ce qui se rapporte aux assistants vocaux et leur utilisation en domotique.
Piem67
Membre
Membre
Messages : 35
Enregistré le : jeu. 12 sept. 2019 11:37

EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par Piem67 » jeu. 10 oct. 2019 13:05

Je me pose différentes questions à propos de ces serveurs domotiques « cloud ».
L’un en chine, d’autres aux états unis ou en europe …
Sachant que l’on est tributaire du bon vouloir de ces serveurs, il y a de quoi susciter quelques inquiétudes.
En vrac, mes remarques et interrogations :

- Quel est l’intérêt de rendre ces services « apparemment » gratuits ?
- Peut-on s’attendre à ce qu’ils deviennent payants lorsqu’un maximum d’utilisateurs seront équipés en matériels connectés et devenus dépendants ?
- Un serveur a-t-il la possibilité de prendre l’initiative d’actionner nos appareils connectés ?
- Dans ce cas, DANGER !!! car que se passerai-t-il par exemple, si un serveur était programmé pour allumer/éteindre en même temps tous les périphériques connectés d’un pays ou d’une région ?
Je doute que les centrales EDF supportent sans broncher ces appels simultanés de courant.
- L’accès autorisé à notre réseau wifi ne présente-t-il pas nativement une énorme faille de sécurité pour l’ensemble de nos réseau LAN ?

Bref, il y a de quoi se poser des questions dont les réponses sont loin d’être toutes rassurantes ... :x

Maison connectée et enceintes Echo ou Google Home

 
Avatar du membre
amenhotep13
Fait partie des meubles
Fait partie des meubles
Messages : 1658
Enregistré le : dim. 22 juil. 2018 18:56

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par amenhotep13 » jeu. 10 oct. 2019 14:02

De tout temps, les progrès technologiques n'ont jamais été sans risques.
Le monde connecté ne fait pas exception à la règle.
Après à chacun de voir : on prend des risques (mesurés) et on avance ou on n'en prend pas et on retourne à l'âge de pierre :mrgreen: (qui n'était peut-être pas si mal :lol: je ne sais pas je ne l'ai pas connu :D )

CHurCH
Nouveau
Nouveau
Messages : 25
Enregistré le : lun. 19 août 2019 14:17

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par CHurCH » jeu. 10 oct. 2019 14:14

Hello !

Les points de vigilance que tu soulèves sont tout à fait légitimes et les problématiques de sécurité soulevées par tous ces objets communicants sont désormais au coeur de nombreuses réflexions.

De mon côté, j'ai fait le choix d'installer tous les éléments domotiques (prises, éclairages, caméras de surveillance, robots et électroménager connectés) de mon appartement sur des VLAN distincts non exposés directement à Internet. Les appareils restent joignables et fonctionnels en local.
Lorsque nous voulons piloter ces éléments à distance, cela se fait exclusivement au travers d'un VPN.

L'accès à internet est rétabli ponctuellement lorsque des mises à jours approuvées par mes soins sont à réaliser.

Sans tomber dans la paranoia, il y a quand même des réflexes simples à avoir pour limiter la vulnérabilité de son réseau Wifi : mot de passe et type de cryptage forts, filtrage par adresses MAC, adressage d'IP fixes, monitoring et gestion plus stricte des ouvertures de ports, du firewall avec la désactivation de protocole plug & play comme l'UPNP.

Pour ce qui est du stockage (videosurveillance, notamment), j'ai exclu les solutions cloud et privilégié l'auto hébergement local sur une carte mémoire dans la caméra et en distant sur un serveur NAS par transfert FTP crypté.

Il faut savoir que de gros acteurs comme Tuya vont simplement proposer à des industriels à la fois les puces permettant la fabrication de ces produits connectés et domotiques à bas prix mais également toute l'architecture cloud et logiciel pour les faire fonctionner.
Cela explique que de nombreux produits de marques différentes exploitent le même hardware et sont en mesure d'être configurés et pilotés depuis un seule et même application. D'autres feront le choix de proposer leur propre appli ou même leur propre solution de cloud tarifée...même si le cloud utilisé en arrière plan reste bien celui de l'acteur principal comme Tuya / Smartlife.

On peut le décrier sur les aspects sécuritaires mais c'est aussi ce fonctionnement qui a contribué à la démocratisation de ces solutions domotiques auprès du grand public...Il y a encore 5 à 6 ans, ces solutions étaient pour la plupart propriétaires. Une fois que l'on avait aquis des éléments d'une marque, on se retrouvait soumis au bon vouloir du fabricant pour la production de produits complémentaires, pour le suivi et les mises à jour. Le système actuel offre quand même plus d'évolutivité et d’interopérabilité entre les marques.

Piem67
Membre
Membre
Messages : 35
Enregistré le : jeu. 12 sept. 2019 11:37

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par Piem67 » jeu. 10 oct. 2019 14:31

Il est vrai que j'aurai du ajouter TUYA et SMARTLIFE dans le titre de mon post ...
Une grande nébuleuse qui n'a pas fini de nous surprendre avant de nous prendre ;)

StephaneM
Amateur
Amateur
Messages : 321
Enregistré le : ven. 30 nov. 2018 15:54

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par StephaneM » jeu. 10 oct. 2019 22:03

Piem67 a écrit :
jeu. 10 oct. 2019 13:05
- Quel est l’intérêt de rendre ces services « apparemment » gratuits ?
L'intérêt est simple : vendre le produit. Si le service cloud n'était pas proposé, le produit ne serait pas connecté et ne présenterait aucun intérêt aujourd'hui.
Peut-on s’attendre à ce qu’ils deviennent payants lorsqu’un maximum d’utilisateurs seront équipés en matériels connectés et devenus dépendants ?
C'est au bon vouloir de celui qui possède le service. Cependant c'est peu probable qu'un service "cloud" pour un objet connecté devienne payant. D'une part parce que l'exploitation d'un tel service ne coûte quasiment rien, lorsque cela représente un coût significatif, alors il est payant (cas de pratiquement tous les "cloud" pour les caméras de vidéosurveillance). En revanche le risque auquel nous sommes tous exposés c'est que le service cloud s'arrête du jour au lendemain, rendant nos appareils sourd et muet (c'est déjà arrivé, et ça arrive toujours et ce pour de multiples raisons)
Un serveur a-t-il la possibilité de prendre l’initiative d’actionner nos appareils connectés ?
Bien sûr. C'est même ce qu'on leur demande ! En effet, la possibilité d'actionner par exemple le chauffage à distance en utilisant un service cloud, implique que nous demandons à un programme chez le fabriquant d'actionner un matériel situé chez nous. Donc c'est déjà ce qui se passe, sauff que nous sommes le point de départ de la sollicitation. Mais rien n'empêche un employé cinglé ou déséquilibré de s'amuser à pourrir la vie de quelqu'un...
- Dans ce cas, DANGER !!! car que se passerai-t-il par exemple, si un serveur était programmé pour allumer/éteindre en même temps tous les périphériques connectés d’un pays ou d’une région ?
Là ça va un peu loin. les services sont multiples il faudrait vraiment une conspiration d'industriels pour faire ça et en plus pour un résultat minable (la consommation des appareils connectés c'est peanuts)
- L’accès autorisé à notre réseau wifi ne présente-t-il pas nativement une énorme faille de sécurité pour l’ensemble de nos réseau LAN 
Bof.. Tout accès donné sur un réseau privé représente un risque : installer un logiciel, voire lire un mail etc... Chacun de nos appareils qu'ils soient connectés ou non présentent peut être des failles de sécurité qui permettrait d'en détourner l'usage. Donc si vous êtes à titre individuel une cible pour quelqu'un là je vous recommande de vous déconnecter d'Internet. En dehors de ce cas précis on est tous exposés à l'exploitation de failles sur des produits qui sont plutôt répandus partout et susceptibles de produire un résultat probant pour les malfaiteurs (du pognon ou faire chier le monde). Pour le moment donc je pense qu'on est plutôt peinard les produits domotiques ne sont pas encore des produits de masse.

Après il y réseau et réseau, si sur votre réseau, vous n'avez que des appareils domotique, une console de jeux et un smartphone... le risque de se faire dépouiller des données si on se fait pirater est risible. C'est uniquement votre ordinateur personnel qui peut contenir des données sensibles : documents, mots de passe pour des services en lignes critiques (banques etc...)

Donc avoir deux réseaux privés pour son domicile (les VLAN de CHurCH) c'est une bonne solution (faut pas que le switch / routeur soit piraté aussi hein ou buggé : j'avais activé un VLAN par erreur sur un point d'acccès Wifi, je ne m'en suis jamais rendu compte jusqu'à ce que je change de routeur et là d'un seul coup j'avais une partie de mes équipements inaccessibles j'ai cherché longtemps avant de trouver pourquoi... donc un VLAN ce n'est pas non plus la panacée). Les deux réseaux permettent de séparer ce qui est critique, de ce qui est purement domestique / domotique. C'est comme les avoir physiquement sur des câbles réseaux distincts et non interconnectés.

A mon sens CHurCH tombe dans la paranoïa qui ne vaut que lorsqu'on héberge chez soi des données sensibles (en provenance du boulot par exemple), je reprends ses reccommandations :
  • les VLANs c'est très bien, mais il faut pouvoir le faire (et savoir le faire). Je doute que les box des FAI proposent un tel montage (je crois même que mon routeur domestique personnel ne le propose pas)
  • Appareils joignables en local et non exposé à Internet (avec le VLAN je ne sais pas comment il fait ceci dit ;) par VPN sûrement) C'est sûr que c'est mieux (parce que si plus d'Internet, ça fonctionne toujours). Mais ce n'est pas le sens du marché : les objets connectés marchent fort justement parce qu'ils sont connectés et de fait interconnectés (ils se parlent entre eux). C'est formidable et ça participe de l'essor de ces technologies (les progrès fait depuis 5 ans sont dingues). Donc je trouve dommage de s'en priver.
  • Stockage : là je suis partagé, le stockage local c'est très bien mais le cloud c'est très bien aussi. L'intérêt du local = c'est plus rapide d'accès (d'aucun diront que ça ne coûte rien, mais ça coûte => des disques et de l'énergie). Le stockage cloud à mon sens et ce qui pose le moins de problème de sécurité (vis à vis de son réseau domestique), évidemment que les données stockées c'est autre chose (ceci dit de savoir mes photos stockés chez Amazon et Google = je suis sûr de ne pas les paumer) et je ne fais pas de sex tape donc tout le monde peut les regarder. EN REVANCHE : les photos postées sur les réseau sociaux = Méfiance, là elles sont potentiellement consultable par n'importe qui (le gouvernement s'y intéresse par exemple)
  • Mot de passe fort : Ok (mais dans 90% des cas ce n'est pas ce que font les gens qui utilisent des mots de passe dont ils peuvent se souvenir). Cryptage Fort : là on n'a pas le choix, on utilise celui qui est proposé par le Wifi...
  • Filtrage MAC : franchement ça ne sert pas à grand chose, d'une une adresse MAC ça se change en deux clics. Donc ça n'empêche personne d'avoir accès à un réseau Wifi (et ça fait chier comme c'est pas permis dans certains cas)
  • Adresses IP Fixes : niveau sécurité ça ne sert à rien.
  • Désactivation UPnP : Soit mais du coup ça vous prive d'énormément de service bidirectionnels.
  • Monitoring et gestion des ouvertures de ports : Personne ne va s'amuser à surveiller en temps réel ou en différé lequel de ces appareils à accéder à quelle ressource Internet etc... Quand à l'ouverture de ports là je ne vois pas de quoi vous parlez, si vous désactivez l'UPnP vous n'avez aucun port ouvert (de l'internet vers chez vous) sauf ceux que vous publiez explicitement. Le Firewall suffit donc amplement à "surveiller" davantage les accès Internet domestiques qui sont déjà naturellement protégés par la NAT.
En conclusion tout ce que CHurCH recommande c'est très bien, mais à mon sens très "exagéré" dans le cadre domestique. En revanche sur un réseau d'entreprise alors là c'est le minimum, d'autant qu'en entreprise on doit surveiller le trafic sortant (fait par les employés)

De nos jours le danger vient plus des traditionnels tentatives d'arnaques par SMS / Mail / Téléphone que par tentative d'intrusion de nos réseau domestiques via les objets connectés. Et les vulnérabilités informatiques qui sont recherchés pour être exploitées c'est plus pour constituer des armées de PC zombies pour lances des attaques en déni de service.

En cas de problème avec les objets connectés c'est simple : il suffit de couper l'accès Internet et il n'y a plus de problème.

Et attention à bien faire le distinguo entre vulnérabilité : arriver à exploiter les ressources informatiques d'un objet en dehors de son usage habituel (par exemple exploiter une imprimante pour lui faire exécuter un autre programme que le sien) et usage malveillant (par exemple faire usage d'un appareil vous appartenant sans votre consentement, soit par l'exploitation d'un défaut de sécurité, soit par un malotru ayant un accès légitime ou non)

Dans le cas de l'usage malveillant, méfiez vous de votre entourage proche vous avez bien plus à craindre d'eux, que les vilains chinois ou américains qui ne vous connaissent pas. Un mot de passe c'est privé et ça ne se donne à personne.

Piem67
Membre
Membre
Messages : 35
Enregistré le : jeu. 12 sept. 2019 11:37

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par Piem67 » jeu. 10 oct. 2019 23:19

Merci StephaneM pour ce commentaire détaillé, argumenté et pondéré :)

Il serait intéressant d'établir l'organigramme des différents serveurs domotiques basés sur le cloud.
En effet, il me semble inutile d'encombrer nos smartphones d'applications finalement inutiles, car redondantes.

Il apparait que les assistants vocaux Amazon Alexa (ou Google Home) s'appuient sur plusieurs applications tierces liées aux matériels connectés.
Ces applications tierces dépendent elles de Tuya ou Smartlife ?

Ainsi, lorsque je demande à Alexa d’allumer une lampe branchée sur une prise TP-LINK HS-100, les serveurs suivants sont mis à contribution :

AMAZON ALEXA > KASA > SMART THINGS

Par ailleurs, on peut voir que pour le matériel SONOFF, on trouve :

AMAZON ALEXA > EWELINK > IFTTTT

Autre question : Comment se place Smart Life par rapport à IFTTT ? On trouve beaucoup de points communs sur l'interface.

Bref, j’aime bien comprendre qui fait quoi, où, quand et comment et qui tire les ficelles ...

StephaneM
Amateur
Amateur
Messages : 321
Enregistré le : ven. 30 nov. 2018 15:54

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par StephaneM » ven. 11 oct. 2019 12:13

Piem67 a écrit :
jeu. 10 oct. 2019 23:19
Il serait intéressant d'établir l'organigramme des différents serveurs domotiques basés sur le cloud. En effet, il me semble inutile d'encombrer nos smartphones d'applications finalement inutiles, car redondantes.
Je ne sais pas si ça présente un intérêt. D'autant que comme ça en y réfléchissant très rapidement, je ne vois rien de redondant (dans le sens ou on pourrait utiliser l'une ou l'autre application pour faire la même chose) dans les applis domotique qui sont nécessaire pour tout configurer ou faire fonctionner. Il faut également garder à l'esprit que les applications sur le téléphone sont dans 99% des cas de simples télécommandes : elles ne jouent un rôle que lorsqu'on s'en sert (si on éteint notre téléphone, notre domotique continue à fonctionner, c'est là tout l'intérêt du cloud)
Il apparait que les assistants vocaux Amazon Alexa (ou Google Home) s'appuient sur plusieurs applications tierces liées aux matériels connectés. Ces applications tierces dépendent elles de Tuya ou Smartlife ?
Alors pour bien comprendre comme tout ceci fonctionne :

D'un côté vous avez votre appareil, mettons une ampoule connectée. Cette ampoule est toujours sous tension et se connecte à internet via votre réseau local (soit directement car c'est une ampoule Wifi, soit indirectement en passant par un Hub, qui sert de passerelle Internet à l'ampoule)

Comme cette ampoule est sur votre réseau local, vous pouvez déjà la contrôler directement sans passer par Internet, si du moins c'est prévu par le matériel. Par exemple une ampoule Hue, par défaut, est accessible localement. D'autres appareils eux ne pourront se contrôler que par Internet (Sonoff par exemple dans les versions non modifiées)

Quand les appareils se connectent à Internet ils se mettent en contact avec le serveur de leur marque ou groupe, donc notre ampoule si c'est une ampoule Philips dialogue avec un serveur Philips (enfin dans ce cas précis c'est la passerelle qui cause au serveur et qui ensuite donne des ordres aux ampoules), dans d'autre cas c'est effectivement la plateforme smartlife (tuya c'est le nom de la société si je ne m'abuse).

Cette plateforme smartlife c'est si je ne me trompe pas un regroupement d'industriels chinois (plutôt petits) qui se sont donc dotés d'une infrastructure unique pour limiter le coûts de développement et proposer quelque chose de compétitif pour être concurrentiels face à un gros comme Xiaomi ou dans une moindre mesure Samsung... D'autant que les produits smartlife sont tous en Wifi et donc les dispense de payer des licences pour des protocoles domotiques chers comme le Zigbee.

Ces serveur Philips / Smartlife etc.... sont donc des services qui sont exposés sur Internet, disposant d'une adresse connue, qui reste stable et qui sont opérationnels 24h/24 et 7j/7 (sauf panne évidemment). La grosse majorité de ces services tournent soit sur des serveurs chinois (Smartlife je crois) et sur le cloud d'Amazon (beaucoup de constructeurs chinois utilisent les infrastructures d'Amazon pour les produits vendu en occident car l'expérience utilisateur est meilleur : l'accès aux serveurs est plus rapide et ça inspire plus confiance). Par exemple les produits Meross qui sont chinois utilisent le cloud Amazon pour leurs objets connectés.

Les applications smartphone vont se connecter sur service cloud. Et on va donc y déclarer les objets en notre possession lorsqu'on installe les objets pour la première fois en configurant leur connexion à Internet. Lorsque c'est fait quand on interagit avec le service cloud, nos appareils connectés vont récupérer les messages qu'on leur laisse et vont donc obéir à ce qu'on leur demande. D'ailleurs la plupart des objets connectés fonctionnent comme ça : par récupération de messages et ceci ne demande aucune configuration de notre réseau : pas d'ouverture de port nécessaire, et même l'UPnP est inutile. Il n'y a qu'en de rares occasions que l'UPnP ou l'ouverture de port est nécessaire (principalement le jeux en ligne, ou les communications bidirectionnelles)

Bref il y a ces services qui ont donc pignon sur rue avec lesquels nos objets connectés communiquent. On utilise ces services à travers une application sur nos smartphones (ou un site Internet depuis un PC / tablette) et ces services vont offrir des services à Alexa et Google Home.

Alexa / Google Home vont pouvoir donc utiliser ces services en notre nom pour manipuler nos appareils.

IFTTT est lui un intermédiaire entre plusieurs services qui ne veulent / peuvent pas dialoguer ensemble. Il va proposer ses propres point d'entrées aux services des constructeurs et les constructeurs vont offrir des services à IFTTT. Donc IFTTT peut contacter les services de mettons Philips et Philips peut conctacter les services de IFTTT. Donc exactement de le même manière que pour Alexa et Google Home.

De plus IFTTT à une logique d'utilisation bien précise : le SI ALORS SINON, qui permet d'associer des choses qui sont à priori disjointes. Par exemple Si (On sonne à ma porte) Alors (Baisse le son de la TV). Et là tout ce passe entre le serveurs des services :

* Quelqu'un sonne à votre porte : votre sonnette contacter le serveur Internet du fabriquant pour renseigner sur cet état "on sonne"
* Le serveur Internet du fabricant va envoyer à IFTTT cette notification "on sonne" sur la sonnette XYZABCDEFE
* IFTTT voit qu'il doit faire quelque chose de cet événement et contacte donc le serveur de Phillips Hue pour qu'on allume les lumières XZERT5533DD
* Le serveur de Philips reçoit la requête et va poster un message pour que votre pont Hue allume finalement l'ampoule.

C'est donc pour ça qu'il y a toujours un petit délai de traitement : il faut que l'information circule sur Internet d'une part et d'autre part lorsque les objets connectés communiquent et reçoivent des informations ce n'est pas toujours immédiat (pour des questions d'économie d'énergie)
Bref, j’aime bien comprendre qui fait quoi, où, quand et comment et qui tire les ficelles ...
J'espère que j'ai répondu à votre question.

Contrôle simple ou on allume soit même un objet avec une appli :
1 - Uniquement le service de l'object connecté

Contrôle via Alexa / Google Home :
1 - Le service de l'objet connecté
2 - Le service Alexa / Google Home

Contrôle plus élaboré (interaction des objets entres eux) :

1 - Le service de l'object connecté déclencheur
2 - Le service orchestrateur (Alexa / Google Home / IFTTT)
3 - Le service de l'objet connecté déclenché

CHurCH
Nouveau
Nouveau
Messages : 25
Enregistré le : lun. 19 août 2019 14:17

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par CHurCH » ven. 11 oct. 2019 16:56

En conclusion tout ce que CHurCH recommande c'est très bien, mais à mon sens très "exagéré" dans le cadre domestique. En revanche sur un réseau d'entreprise alors là c'est le minimum, d'autant qu'en entreprise on doit surveiller le trafic sortant (fait par les employés)
Malheureusement, je regrette que mon propos ait été à ce point mal lu et déformé...
Je distinguais bien les solutions courantes et à la portée de tous : la plupart des box du marché proposent ce qui est décrit ici.
Sans tomber dans la paranoia, il y a quand même des réflexes simples à avoir pour limiter la vulnérabilité de son réseau Wifi : mot de passe et type de cryptage forts, filtrage par adresses MAC, adressage d'IP fixes, monitoring et gestion plus stricte des ouvertures de ports, du firewall avec la désactivation de protocole plug & play comme l'UPNP.
Le détail de mon installation visait simplement à montrer à un autre niveau comment palier aux problématiques de sécurité et de confidentialité soulevées par l'initiateur du sujet, via des solutions techniques.

@StephaneM, à ma paranoia, je vous opposerai simplement votre naïveté : beaucoup d'utilisateurs un peu éclairés vous expliqueraient que l'UPnP dans un réseau domestique bardé de produits domotiques est peu recommandable. M'enfin...
Pour l'anecdote, la semaine dernière, un client m'a confié une camera cloud "made in china" qu'il n'arrivait pas à intégrer à son installation existante comportant pourtant d'autres modèles identiques. A ma grande surprise, il n'avait pas modifié le mot de passe par défaut et avec mon smartphone j'ai non seulement pu accéder à l'interface de configuration mais surtout pu obtenir un lien automatique pour le visionnage de tous les autres modules déja rattachés à son compte et en fonctionnement chez lui...

Mon propos était donc de mettre en balance la démocratisation de toutes ces solutions domotiques fonctionnant à grand renfort de cloud (prix bas et simplicité d'usage) avec l'insouciance ou le peu d'attention accordés à leur vie privée, la sécurité de leurs données, par une majorité d'utilisateurs. Stocker sur le cloud Amazon l'état du capteur d'ouverture de ma porte d'entrée ou de mon alarme, les videos de mes caméras de surveillance, tous compatibles Alexa, est-ce vraiment anodin ?
J'enfonce le clou en évoquant la mise à disposition le 25/09 par Amazon du kit de développement de son protocole Sidewalk qui étendra la portée de communication des objets connectés jusqu'à 1.6 km...soit bien au delà de la notion de "maison connectée" !

Ces sujets sont passionnants et amènent de nombreuses questions sur notre société ultra connectée. Malheureusement, ils ne peuvent pas être pris à la légère avec des attitudes et arguments désinvoltes : "de toute façon je n'ai rien à cacher", "le danger c'est surtout votre environnement proche avant de venir des serveurs chinois", "si vous avez des craintes alors déconnectez vous d'Internet et jetez votre smartphone"...

Et je vous rassure je ne suis pas paranoïaque et ne me balade pas avec un chapeau en papier d’aluminium sur la tête pour limiter les ondes :lol: : je travaille simplement dans le domaine et souvent à domicile. Je suis donc tenu de séparer mon réseau domestique des ressources mises à disposition par mon employeur.
J'ai de nombreuses enceintes Echo à la maison et mon appartement est rempli de "smart devices", je suis fan de cet écosystème...mais pas à n'importe quel prix et je reste vigilant au fonctionnement de ces produits.

StephaneM
Amateur
Amateur
Messages : 321
Enregistré le : ven. 30 nov. 2018 15:54

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par StephaneM » ven. 11 oct. 2019 19:10

CHurCH a écrit :
ven. 11 oct. 2019 16:56
@StephaneM, à ma paranoia, je vous opposerai simplement votre naïveté : beaucoup d'utilisateurs un peu éclairés vous expliqueraient que l'UPnP dans un réseau domestique bardé de produits domotiques est peu recommandable. M'enfin...
Chacun son expérience, je suis peut être naïf, mais je maintiens qu'il faut savoir doser en fonction du danger. Je ne nie pas que nous sommes exposés dès lors qu'on active tel ou tel technologie, je vous dis simplement qu'il faut savoir à quoi on est exposé.

Pour l'UPnP il y a eu un gros problème avec certains routeurs, il y en a je crois encore plusieurs millions d'actifs et exposé qui exposaient le protocole UPnP sur leur interface WAN (externe) ce qui là donnait un accès au réseau local en rendant possible l'ouverture de port, cependant cette vulnérabilité a surtout été utilisée pour se servir des routeurs infectés en tant que proxy : donc on utilise votre routeur comme un relais pour commettre une attaque ailleurs. En dehors de cette vulnérabilité, L'UPnP permet donc d'ouvrir des ports (port forwarding) dans le firewall du routeur. Cette faculté donc peut être employé par des logiciels malveillants pour ouvrir des ports, le problème donc n'est pas l'UPnP mais le logiciel malveillant... En cas de problème : on consulte son interface de gestion du routeur et on voit quels ports sont ouverts ou pas. Je trouve que c'est se priver d'une fonction très pratique (voire indispensable) pour certains services. En france aucun routeur d'opérateur n'a eu à souffrir de la grosse vulnérabilité UPnP, pour les autres routeurs : mise à jour indispensable.

Nous avons donc des objets connectés, des consoles de jeux des imprimantes etc... qui sont exposés soit directement, soit indirectement. Quel intérêt, au delà de faire chier le monde ce qui n'est pas exclu, d'aller exploiter de tels objets : en prenant en compte deux niveaux différents d'exploitation = se servir des objets (allumer / éteindre / consulter) ou bien détourner les objets pour lancer des attaques visant à déstabiliser ou détruire quelque chose (ou dérober quelque chose) ?

En ce qui me concerne je trouve la probabilité extrêmement faible, nettement plus faible que de récupérer un virus / spyware / ransomware etc... en utilisant un ordinateur / téléphone sur Internet (du moins aujourd'hui).

Mon propos donc était de dire que ces technologies là on pouvait les utiliser sans pour autant avoir recours aux montages et restrictions que vous utilisez. Je ne dis pas que ça ne sert à rien ni que c'est idiot, mais que c'est un peu beaucoup pour un usage domestique (et hors de portée pour beaucoup)

En revanche il est un problème bien plus important lui que vous soulevez d'ailleurs et qui représente à mon sens la plus grande source de danger : les mots de passe. Dans le cas de votre client le risque c'est le client qui l'a fait lui même courir, pas le cloud. Que la caméra soit made in china ou pas le problème est le même. Que vous ayez pu accéder à toutes ses caméras et donc tout à fait normal ET c'est bien pour ça que je répète qu'il faut en premier se méfier de ses proches :

1) Ils vous connaissent et savent ce que vous possédez et où vous habitez
2) Dans votre cas, vous avez configuré la caméra de votre client, vous connaissez donc (ou avez pu avoir connaissance) du nouveau mot de passe
3) Si vous êtes un indélicat, vous voilà en possession de l'adresse d'un individu et vous avez la main sur ses caméras : OPEN BAR.
Mon propos était donc de mettre en balance la démocratisation de toutes ces solutions domotiques fonctionnant à grand renfort de cloud (prix bas et simplicité d'usage) avec l'insouciance ou le peu d'attention accordés à leur vie privée, la sécurité de leurs données, par une majorité d'utilisateurs. Stocker sur le cloud Amazon l'état du capteur d'ouverture de ma porte d'entrée ou de mon alarme, les videos de mes caméras de surveillance, tous compatibles Alexa, est-ce vraiment anodin ?
Bien sûr que tout ceci n'est pas anodin, vous placez votre confiance ou pas dans la société qui propose le service, et surtout personne n'est obligé de le faire. (Attention toutefois à ne pas additionner les sujets, l'exploitation des données produite par les objets c'est un autre sujet que la sujet de la sécurité du réseau local et du domicile)

Et comme vous le dites c'est l'insouciance qui est un problème, mais à mon sens ce n'est pas parce que vous vous blindez de remparts etc... que vous réglez le problème. Ce qui se passe chez le prestataire de service vous est de toute façon inaccessible et hors de votre contrôle.
J'enfonce le clou en évoquant la mise à disposition le 25/09 par Amazon du kit de développement de son protocole Sidewalk qui étendra la portée de communication des objets connectés jusqu'à 1.6 km...soit bien au delà de la notion de "maison connectée" !
Je ne vois pas en quoi c'est plus dangereux, on parle ici d'un nouveau protocole de communication pour remplacer le Wifi, en utilisant un fréquence plus basse pour avoir une portée plus étendue. Pour moi c'est aussi dangereux que les objets connecté en 433 MHz ou en 866 MHz, la portée est similaire (pour Amazon ce sera 900 MHz et j'ai un doute pour le 1,6 Km). Donc oui ce serait plutôt bienvenu pour "étendre" sa maison connecté à son jardin.

Ce qui vous tracasse là c'est que la portée soit augmentée : bah justement c'est encore un argument de plus pour faire attention aux proches. Le risque donc de ces technologies là c'est d'avoir des cambrioleurs 2.0 qui ne cassent plus les portes et fenêtres mais les ouvre en piratant les systèmes. Rien de bien nouveau donc (je pars du principe qu'on ne peut pas empêcher un cambriolage, on rend limite simplement le nombre de cambrioleurs capables de cambrioler)
Malheureusement, ils ne peuvent pas être pris à la légère avec des attitudes et arguments désinvoltes : "de toute façon je n'ai rien à cacher", "le danger c'est surtout votre environnement proche avant de venir des serveurs chinois", "si vous avez des craintes alors déconnectez vous d'Internet et jetez votre smartphone"...
Je ne les prends pas à la légère, mon argument sur les proches est tout à fait valide, on a en généralement plus à craindre de l'environnement proche que des serveurs chinois. Et lorsque je dis "déconnectez vous d'Internet" vous avez mal compris : j'indiquais que la solution était simple en cas de problème avec un objet connecté : on coupe Internet et le problème disparaît instantanément. Ce qui laisse le temps d'analyser et résoudre le problème.

Par contre je n'ai pas dis que tout ça n'est pas grave car "je n'ai rien à cacher". Non au contraire fondamentalement on a tout quelque chose à cacher mais on ne le sait pas encore. Je ne crois pas en revanche que les objets connectés représente aujourd'hui un risque de fuite d'information. Ce risque là est déjà bien tenu par les réseaux sociaux.

La question de départ était de savoir quels risques pouvaient présenter les objets domotiques en regard de son réseau local et de son domicile ; je maintiens donc que le risque est faible :

1) La prise de contrôle à distance par des inconnus est peu probable, pour quoi faire ?
2) Le vol de données en exploitant les objets domotiques et faibles : quelles données à voler et pour quoi faire ?
3) la mise en panne des objets connectés : là c'est la seule chose qui est plus probable par ce que ça peut amuser les auteurs du délit.

Pour le point numéro 3, malheureusement si vous voulez utiliser des objets connectés, vous ne pouvez rien faire. C'est le fabriquant qui doit assurer la sécurité de son produit. Et c'est pourquoi j'avais oublié de la préciser : il est impératif de faire les mises à jour de ses produits (même si une mise à jour peut rendre inopérante le produit, ou votre PC si on parle de Windows. Pour Windows si on a qu'un seul PC il est donc sage d'avoir des sauvegardes en local et dans le cloud)

Pour les points 1 et 2 c'est là que vous pouvez mettre en place ce que vous conseillez, je ne dis pas que ça ne sert à rien, je dis que c'est compliqué à mettre en place (par exemple je viens de vérifier sur mon routeur grand public dernier cri, il n'y a pas de VLAN possible à moins d'installer un firmware tiers... donc). Et désactiver ceci et cela, oui en désactivant vous réduisez la surface mais vous perdez en fonctionnalité.

Exemple : le WPS pour le Wifi, j'ai choisi de le désactiver, ça m'oblige donc à rentrer ma clé Wifi à chaque fois, c'est chiant mais peu importe. Qu'est ce que la désactivation du WPS m'a apporté au niveau sécurité : la satisfaction de ne plus voir apparaître des appareils inconnus dans mon réseau local (Windows affiche des fantômes sur le réseau à cause du WPS), sinon personne n'avait eu accès à mon réseau quand le WPS était activé, j'ai donc agit par paranoïa... Je faisais du flitrage MAC aussi, ça m'a vite gonflé aussi j'avais des incompatibilités avec des VMs et des ponts sans fils (Un filtrage MAC n'empêchera pas quelqu'un de déterminé d'accéder à un réseau Wifi)

En revanche je sais que si quelqu'un VEUT s'introduire sur mon réseau il le fera très simplement, soit en piratant le Wifi, ou plus simplement encore en se branchant sur le câble Ethernet qui se trouve à l'extérieur de mon habitation. De même que mes volets Somfy peuvent être ouverts par qui le veut vraiment avec la matériel adéquat. J'ai aussi tout un tas de bidules (non connectés ceux là) qui fonctionnent en 433 MHz et là c'est la fête du slip aussi (mais il faut être dans le coin)

C'est donc toujours la même chose jusqu'où êtes vous en mesure de vous faire suer pour vous sentir en sécurité.

Piem67
Membre
Membre
Messages : 35
Enregistré le : jeu. 12 sept. 2019 11:37

Re: EWELINK – IFTTT – KASA – KONYKS – AMAZON ALEXA …

Message par Piem67 » ven. 11 oct. 2019 19:37

Entre "paranoïa" et "naïveté", il doit y avoir un juste milieu :)
Reste à savoir où placer la barre. Sans doute en fonction des risques encourus.
Un professionnel n'aura pas les mêmes exigences qu'un particulier.

Un serveur professionnel sera certainement mieux surveillé et protégé que celui d'un particulier car ce sera lui qui fera une cible privilégiée pour les pirates informatiques. (c'est comme un convoyeur de fond qui doit être armé ...).

Le serveur d'un particulier, noyé dans la masse, présente statistiquement beaucoup moins de risques.
je ne suis pas armé dans la rue, je fais juste attention ou je range mon porte feuille ;)

Après tout, nous confions bien nos revenus a une banque !
L'époque "sous le matelas" semble révolue.

Mais le grand avantage des données numériques , c'est qu'elles peuvent exister a la fois a la banque et sous le matelas ;)

Moralité : Il faut toujours penser a faire des sauvegardes !

Répondre