bonjour, bravo pour cette vidéo, c est la 1ere fois que je vois ce genre de vidéo. A la question sommes nous intéressé par d autres contenus de ce genre, la réponse est OUI !
Merci, pour cette vidéo instructive. Une partie sur les vpn et approfondir le problème du port 22. Le fonctionnement et le paramétrage des firewall Je suis preneur
Sujet captivant ! Je suis preneur pour d’autres vidéos sur ce sujet. Quels sont tous les moyens disponibles pour tenter de contrer des attaques ? La double authentification est-elle efficace ? Les logiciels antivirus offrent-ils une solution, comme masquer l’adresse IP, par exemple ? … Hâte de visionner tes prochaines vidéos sur le sujet!!! Merci à toi.
Les attaques de ce type ne sont pas efficace avec un vrai mot de passe. Mais a mon avis, il y a plein d'autres méthodes. Notamment tous les logiciels piratés qui peuvent parfois contenir des bouts de codes malveillant. Les hackeurs s'en servent après en en faisant des ordinateurs zombies pour attaquer des grosses compagnies sans que le propriétaire s'en rende compte. Ou pour pirater leurs vies privées et leurs comptes bancaires,
Bonjour et merci pour cette vidéo ! Très preneur aussi d'une suite sur la cybersécurité liée à Home Assistant. J'ai sécurisé mon mot de passe jusqu'à présent trop vulnérable ... mais ... cela m'a couté une soirée casse tête ! En effet je me suis rendu compte (après pas mal de temps malheureusement) qu'un changement de mot de passe de HA entraine la suppression des jetons long durée générés précédemment. Du coup Alexa (liée à HA par la méthode gratuite décrite par les Alexiens) ne fonctionnait plus avec HA ... Tout est rentré dans l'ordre , mais voila au cas où , c'est bon à savoir ...
si j'ai bien compris un brut force et un teste de plusieurs mots de passe teste a la suite il faudrais juste faire une automatisation darret de la machine au bout de 5 tentative ca serait pas mal
Bonjour, j'ai découvert ta chaine ce jour et je suis totalement nouveau dans la domotique, donc aucune connaissance du tout. Merci tout d'abord pour l'ensemble de tes videos, j'ai quelques heures à visionner. Peux tu me dire si la playlist "home assistant" est dans l'ordre de visionnage pour un noob comme moi ? Pour pouvoir apprendre dans le bon ordre et avancer petit à petit. Je souhaite domotiser un max ma maison, et j'aimerais commencer surtout avec les lumieres et les volants roulants pour permettre d'allumer/éteindre et fermer/ouvrir selon des déclencheurs spécifiques et des conditions merci de ta réponse bonne soirée
Attention, tu dis que s'il y a eu un "Login attempt failed" en local, c'est qu'un intrue à tenté de se connecter. Cependant, il arrive qu'une de mes tablettes ou téléphones tente une connection sans succès. (Va savoir pourquoi.) Alors, j'ai régulièrement ce message d'erreur. Par contre, j'ai eu une attaque il y a quelques jours, d'une adresse IP d'Europe de l'est. J'avais oublier de refermer le port 8123 après avoir fait quelques testes.
Bonjour, Pour l'attaque SSH, il faut soi-même ouvrir son firewall/router pour le permettre, c'est la responsabilité de l'utilisateur. Par contre, permettre l'attaque la plus connue via l'interface Web, est plus problématique car la majorité des gens activent leur Home Assistant pour qu'il soit joignable sur Internet. Or, il est possible que les devs de Home Assistant mettent en place certains contrôles ( nombre de tentatives/seconde/minutes, blocage progressif après X tentatives pour 1 login). Est-ce que cela a été reporté chez les devs?
@@guillaumeharran4402 Bonjour, mon point est que si je choisis Home Assistant, je ne dois pas augmenter mon niveau de connaissance de cybersécurité ;-). Les points que soulève l'auteur, plus particulièrement un brute force sur l'authentification Web, devrait pouvoir se gérer via le code même du programme ( quitte à proposer une extension/module fail2ban). L'attaque brute force est connue depuis que les ordinateurs existent. Que ce soit aussi trivial avec Home Assistant met en péril bon nombre d'utilisateurs n'ayant pas la connaissance de fail2ban ou d'autres aspects d'attaque. L'auteur le mentionne, il n'y a pas de notifications et, la première défense est un mot de passe trèèèèèès long. Mais je persiste que les devs de Home Assistant (comme bcp de devs partout), plutôt que de sortir du code rapidement, doit tenir compte de l'aspect sécurité.
C’est possible de bloquer cela avec ip_ban mais ce n’est pas activé par défaut, le mieux est de ne pas rendre directement accessible depuis l’extérieur
bitwarden,, ba tu vois sans faire le parano, chaque mdp généré aléatoirement, je fait bien.... pour mon infra, rien ne rentre, ma solution ..? tu fermes tout, un bon routuer derriere ta box, un Pfsense par exemple, tu montes un openVPN ( meme si je suis pas fan pour le debit, mais ça depanne bien, ) un Wiraguard... et la tu controle tout.... et ton routeur n'a qu'un seul port d'ouvert, et de plus y'a un fail2ban... ;);) merci pour cette video, tu m'a fait peur quand j'ai vu le titre :) :)
C'est vraiment efficace lnhostoire de la phrase en tant que mot de passe ? On disait a une epoque de ne pas utiliser de mot du dictionnaire, et la on fait une phrase. Il suffit de faire une attaque en testant plusieurs mots du dictionnaire, je trouve étrange que ce mot de passe soit considéré comme long à craquer.
Oui car il y a plus de mots que de lettres le tout est de mettre plusieurs mots et si possbie qui n'ont rien a voir entre eux averc caratère spécial. Les estimations sont pas très précises ça dépendra du dictionaire de l'attaquant
J'aime bien le thème de cette vidéo, cependant elle me laisse sur ma faim. Moi aussi j'ai eu ce message sur mon HA, et j'aurais aimé savoir par exemple, comment connaitre le nombre de tentative qu'il y a eu, et surtout si il y a finalement eu une connexion OK ou si toutes les connexions ont échoué. Comment savoir quel compte est connecté en ce moment même à HA et depuis quel IP ? Y a t'il un journal des connexions KO et OK ? je suis un nouvel utilisateur de HA et j'avoue ne pas encore avoir trop regardé. Pour ma part suite au message, j'ai activé la double authentification. Je viens de désactiver la réponse au ping (merci à toi, j'avais oublié). Une vidéo sur la sécurisation de HA suite à une nouvelle installation serait super, par exemple j'ai vu qu'il y avait des comptes systèmes, faut il changer leurs mots de passe ? Savoir aussi quels sont les comptes qu'il est normal de retrouver après une installation. Merci à toi, j'aime beaucoup tes vidéos.
Hello, Malheureusement, si je vais a fond dans tout les aspect, la vidéo durera 1h :) Je fais régulièrement des lives n'hésite pas à venir sur un des lives où l'on peut voir un sujet specifique Attention la double authentification ne fonctionne pas en SSH et une fois connecté en ssh on peut créer un user.
@@makernix je comprends, peut être faire une série de vidéos sur la sécurisation de Home Assistant. Je pense que c'est un sujet important. Pour la double authentification je n'ai pas activé le ssh, mais tu fais bien de le préciser pour d' autres lecteurs. J'espère être disponible un jour lors de tes lives, je passerai avec plaisir. Continue ton excellent travail, merci beaucoup 🙏
Déjà, ouvrir son réseau sur Home Assistant, c'est une grave erreur. Je préconise d'utiliser un réseau wifi spécifique pour la domotique, réseau qui pour ma part n'est connecté à Internet que lorsque j'ai besoin de faire une mise à jour.
Effectivement, c'est le plus sécurisant. Mais pour que HA communique avec nos smartphones (automatisation par rapport au GPS pour l'alarme par exemple), pas le choix !
@@davidbrasselet406 et bien il suffit d'ajouter un routeur Wifi sur lequel tu branche tous tes appareils IoT/domotiques, ainsi que le Home assistant. J'ai aussi branché un iPad que j'ai fixé au mur sur le même réseau, pour que la famille puisse facilement contrôler la maison (Lumières, capteurs, chauffage, volets, ...). Tout cela fonctionne de manière indépendante et sans internet et lorsque je veux le mettre à jour (de temps en temps), il me suffit de relier le WAN de ce routeur sur un LAN de ma box, qui elle, a le réseau internet :)
@@makernix ça rajoute quand même une grosse couche en plus! Et tous dépend du deuxième facteurs, un code TOTP est moins robuste que fido2 ! Pour casser fido2 c'est très compliqué... Mais malheureusement pas compatible HA actuellement...
On sent qu'Il y a du potentiel c'était un peu putaclic, je reste sur ma faim... home assistant derrière un reverse proxy en https + activation de l'authentification forte native, on est déja au delà de ces attaques de bruteforce et MITM. Et pourtant, je suis persuadé qu'il reste tout un tas de sécu à renforcer. Je m'attendais plutôt à aller au delà de ça
Trop fort ton attaque man in the middle. SI je vais un parallèle pour les utilisateurs novice, c'est comme si vous commencer par donner les clés de votre maison à des voleurs et qu'ils regardent ce qui rentre et ce qui sort. C'est complètement impossible en tout cas sur un réseau maison. Il faut comme on vous le montre modifier votre navigateur pour activer le proxy qui va envoyer les infos chez les hackers.... Avec le titre PutaClic franchement pas top la video.
C’est l’attaquant qui modifie son navigateur à lui il suffit d’avoir un accès à home assistant tu en trouve des milliers sur des sites spécialisé en scan de port. Il semblerait qui tu n’a pas regardé la vidéo entièrement ou pas compris ce qui était fait 😉
slt tres tres bonne video et la morale de cette histoire c'est que l'on a toujours presenté Linux comme la solution car fiable impossible a pirate en fait c'est une vraie passoire alors qu'est ce qui motive de passer a Linux maintenant quans a home assitant il y a une tres forte communauté mais qui a t-il comme personnage dans cette commmunaute????????? et linux et tellement envahi de modules que le risque est grand donc by by HA pour l'instant
Linux une vrai passoire?????? Impossible à pirater???? Comme toujours le problème ce n'est pas le logiciel mais la personne derrière l'écran. Si les gens arrêtait de faire n'importe, il n'y aurait pas de problème de sécurité
Hello, Jeedom c'est encore plus simple :) Aucun système n'est sécurisé, par contre pour Linux il y a énormément d'outils pour se sécuriser. La sécurité n'est pas par défaut.
"Si ta box réponds au ping c'est pas bon" : faut arrêter de répandre des légendes urbaines. En quoi ICMP est un protocole faillible ? Dans 99% des cas HA est exposé via le port 443 et/ou 8123: a quoi ca sert de désactiver l'ICMP puisque l'attaquant sait très bien que l'IP est UP : elle réponds en TCP/443. L'ICMP il s'en contrefiche.. Telnet/nmap/curl/firefox lui ont déja donné la réponse ;) Un peu dommage aussi que tu n'abordes pas l'aspect le plus important de la Cyber : les mises à jours. Même si tu as du MFA et un mot de passe complexe, s'il y a une CVE qui touche la partie authentification (AU HASARD : libssh ..) de ton HA : tu es mort dans le film. Avant même de penser au password strong, il faut patcher ses applicatifs et les systèmes qui les portent. Sur le reste, assez d'accord avec toi, même si je trouve la démo de fuzzing un peu limite .. "Ne le faites pas, mais je vous montre comment faire". Pour ceux qui trouvent la démo simple : l'auteur de la vidéo oublie de préciser qu'il connait le login a l'avance et qu'il ne cherche qu'a deviner le mot de passe. Deviner le couple login/mot de passe, meme avec un password simple, est quasi impossible. My 2 cents
Bonjour Mk,
Merci pour cette vidéo.
N’hésite pas à nous creuser le sujet’ je suis preneur.
Bon dimanche à tous 👍
Passionnant et très instructif, merci beaucoup.
Merci beaucoup pour cette vidéo très instructive, je suis rassuré. Vivement la suite.
Bonjour,
Merci ! j'en apprends à chaque fois et surtout tes vulgarisations sont super pour un ab initio.
bonjour, bravo pour cette vidéo, c est la 1ere fois que je vois ce genre de vidéo. A la question sommes nous intéressé par d autres contenus de ce genre, la réponse est OUI !
Merci pour cette vidéo c'est "LE" sujet incontournable à l'heure actuel
Vidéo très instructive. Merci.
Super vidéo, impatient de voir la suite !
Trés intéressant, Merci
Merci pour cette vidéo. J’adore. Alors si vous pouviez continuer sur la sécurisation de HA, ça serait top. Par exemple comment mettre un VPN. A plus
Vidéo super cool mais ça fait très peur !
a bientôt pour la suite et encore merci
super !!! merci pour ces infos et on attend avec impatience la suite pour être ultra sécure !!!!!
oui, très bonne vidéo, tu es pédagogue.
ne serais t'il pas possible de mettre un temps d'attente entre chaque essai de mot de passe ?
Merci
Sujet au top 🎉
Merci très instructif
Vidéo vraiment très instructif et passionnant, je suis aussi adepte pour voir une nouvelle vidéo sur ce sujet
Bonjour!
Trop top et incroyable à la fois.
Oui tu peux faire la vidéo ( complète) : "comment ne pas de Hacker son Home Assistant pour les Nuls"🤣😂
Je decouvre c'est intéressant merci
Merci, pour cette vidéo instructive. Une partie sur les vpn et approfondir le problème du port 22. Le fonctionnement et le paramétrage des firewall Je suis preneur
Je suis complètement prenneur de tes vidéos. Excellent travail
Vidéo intéressante Merci
je suis intéressé par ce genre de vidéo alors n'hésite pas
Sujet captivant ! Je suis preneur pour d’autres vidéos sur ce sujet. Quels sont tous les moyens disponibles pour tenter de contrer des attaques ? La double authentification est-elle efficace ? Les logiciels antivirus offrent-ils une solution, comme masquer l’adresse IP, par exemple ? …
Hâte de visionner tes prochaines vidéos sur le sujet!!! Merci à toi.
Hello, Il y a différentes attaques, j'en ai déjà cité dans cette vidéo, je vais continuer a creuser le sujet pour vous faire d'autres vidéos ;)
Les attaques de ce type ne sont pas efficace avec un vrai mot de passe. Mais a mon avis, il y a plein d'autres méthodes. Notamment tous les logiciels piratés qui peuvent parfois contenir des bouts de codes malveillant. Les hackeurs s'en servent après en en faisant des ordinateurs zombies pour attaquer des grosses compagnies sans que le propriétaire s'en rende compte. Ou pour pirater leurs vies privées et leurs comptes bancaires,
T'es un bon toi ! T'es un bon.....
Superbe vidéo ! Intéressé d'avoir plus de tips and tricks sur la cybersécurité ;)
Bonjour et merci pour cette vidéo ! Très preneur aussi d'une suite sur la cybersécurité liée à Home Assistant.
J'ai sécurisé mon mot de passe jusqu'à présent trop vulnérable ... mais ... cela m'a couté une soirée casse tête ! En effet je me suis rendu compte (après pas mal de temps malheureusement) qu'un changement de mot de passe de HA entraine la suppression des jetons long durée générés précédemment. Du coup Alexa (liée à HA par la méthode gratuite décrite par les Alexiens) ne fonctionnait plus avec HA ...
Tout est rentré dans l'ordre , mais voila au cas où , c'est bon à savoir ...
les vidéos sont sympas mais la musique est barbante hélas !
Hello,
Vaste sujet la sécurité informatique mais sujet intéressant.
Très fort le teasing ! Belle vidéo Bravo ! Hâte de voir si le connais la suite :)
Top
j'adore ! il faut continuer comme ça :)
merci bien pour ce joli travail
merci, je voyais ca aussi
j'ai du me faire hacker
Hello, pour ma part j'ai ouvert aucun port sur la box, je passe en cloudflared (tu es l'auteur du tuto je crois)
Merci ! Je croyais effectivement qu'il y avait 1 notification par tentative..
Hé bien non 😱
Incroyable, on en veut plus comme ça !
si j'ai bien compris un brut force et un teste de plusieurs mots de passe teste a la suite il faudrais juste faire une automatisation darret de la machine au bout de 5 tentative ca serait pas mal
Bonjour,
j'ai découvert ta chaine ce jour et je suis totalement nouveau dans la domotique, donc aucune connaissance du tout.
Merci tout d'abord pour l'ensemble de tes videos, j'ai quelques heures à visionner.
Peux tu me dire si la playlist "home assistant" est dans l'ordre de visionnage pour un noob comme moi ?
Pour pouvoir apprendre dans le bon ordre et avancer petit à petit.
Je souhaite domotiser un max ma maison, et j'aimerais commencer surtout avec les lumieres et les volants roulants pour permettre d'allumer/éteindre et fermer/ouvrir selon des déclencheurs spécifiques et des conditions
merci de ta réponse
bonne soirée
❤❤❤
a tu déjà sécurisé HA avec authentik ?
Attention, tu dis que s'il y a eu un "Login attempt failed" en local, c'est qu'un intrue à tenté de se connecter. Cependant, il arrive qu'une de mes tablettes ou téléphones tente une connection sans succès. (Va savoir pourquoi.) Alors, j'ai régulièrement ce message d'erreur.
Par contre, j'ai eu une attaque il y a quelques jours, d'une adresse IP d'Europe de l'est. J'avais oublier de refermer le port 8123 après avoir fait quelques testes.
J'ai pareille avec ma tablette.
Pareil avec mon homeassistant companion sur iphone...mais pas de faille de sécurité pour autant
Merde ma Freebox Révolution, on peut pas désactiver le ping !!! Ehhh tu nous laisses pas comme ça !!!
Débranche la câble fibre tu verra ça va bloquer le Ping 🤣 (Je plaisante bien sûr !)
Est ce que la double authenfication renforce la sécurité ?
Oui et non
Il faudrait pour cela que tout les comptes utilisateurs ont la double authentification
Bonjour, Pour l'attaque SSH, il faut soi-même ouvrir son firewall/router pour le permettre, c'est la responsabilité de l'utilisateur. Par contre, permettre l'attaque la plus connue via l'interface Web, est plus problématique car la majorité des gens activent leur Home Assistant pour qu'il soit joignable sur Internet. Or, il est possible que les devs de Home Assistant mettent en place certains contrôles ( nombre de tentatives/seconde/minutes, blocage progressif après X tentatives pour 1 login). Est-ce que cela a été reporté chez les devs?
Il suffit de mettre fail2ban... Cette vidéo est juste pute à clic..
@@guillaumeharran4402 Bonjour, mon point est que si je choisis Home Assistant, je ne dois pas augmenter mon niveau de connaissance de cybersécurité ;-). Les points que soulève l'auteur, plus particulièrement un brute force sur l'authentification Web, devrait pouvoir se gérer via le code même du programme ( quitte à proposer une extension/module fail2ban). L'attaque brute force est connue depuis que les ordinateurs existent. Que ce soit aussi trivial avec Home Assistant met en péril bon nombre d'utilisateurs n'ayant pas la connaissance de fail2ban ou d'autres aspects d'attaque.
L'auteur le mentionne, il n'y a pas de notifications et, la première défense est un mot de passe trèèèèèès long. Mais je persiste que les devs de Home Assistant (comme bcp de devs partout), plutôt que de sortir du code rapidement, doit tenir compte de l'aspect sécurité.
C’est possible de bloquer cela avec ip_ban mais ce n’est pas activé par défaut, le mieux est de ne pas rendre directement accessible depuis l’extérieur
Le titre est peut être pute à clic mais dans la vidéo je parles bien de fail2ban 😂
bitwarden,, ba tu vois sans faire le parano, chaque mdp généré aléatoirement, je fait bien.... pour mon infra, rien ne rentre, ma solution ..? tu fermes tout, un bon routuer derriere ta box, un Pfsense par exemple, tu montes un openVPN ( meme si je suis pas fan pour le debit, mais ça depanne bien, ) un Wiraguard... et la tu controle tout.... et ton routeur n'a qu'un seul port d'ouvert, et de plus y'a un fail2ban... ;);) merci pour cette video, tu m'a fait peur quand j'ai vu le titre :) :)
C’est pas mal en effet, ma vidéo de demain concerne un VPN un peu spécial ça t’intéressera sûrement
C'est vraiment efficace lnhostoire de la phrase en tant que mot de passe ? On disait a une epoque de ne pas utiliser de mot du dictionnaire, et la on fait une phrase. Il suffit de faire une attaque en testant plusieurs mots du dictionnaire, je trouve étrange que ce mot de passe soit considéré comme long à craquer.
Oui car il y a plus de mots que de lettres le tout est de mettre plusieurs mots et si possbie qui n'ont rien a voir entre eux averc caratère spécial. Les estimations sont pas très précises ça dépendra du dictionaire de l'attaquant
J'aime bien le thème de cette vidéo, cependant elle me laisse sur ma faim. Moi aussi j'ai eu ce message sur mon HA, et j'aurais aimé savoir par exemple, comment connaitre le nombre de tentative qu'il y a eu, et surtout si il y a finalement eu une connexion OK ou si toutes les connexions ont échoué. Comment savoir quel compte est connecté en ce moment même à HA et depuis quel IP ? Y a t'il un journal des connexions KO et OK ? je suis un nouvel utilisateur de HA et j'avoue ne pas encore avoir trop regardé. Pour ma part suite au message, j'ai activé la double authentification. Je viens de désactiver la réponse au ping (merci à toi, j'avais oublié). Une vidéo sur la sécurisation de HA suite à une nouvelle installation serait super, par exemple j'ai vu qu'il y avait des comptes systèmes, faut il changer leurs mots de passe ? Savoir aussi quels sont les comptes qu'il est normal de retrouver après une installation. Merci à toi, j'aime beaucoup tes vidéos.
Hello, Malheureusement, si je vais a fond dans tout les aspect, la vidéo durera 1h :) Je fais régulièrement des lives n'hésite pas à venir sur un des lives où l'on peut voir un sujet specifique
Attention la double authentification ne fonctionne pas en SSH et une fois connecté en ssh on peut créer un user.
@@makernix je comprends, peut être faire une série de vidéos sur la sécurisation de Home Assistant. Je pense que c'est un sujet important. Pour la double authentification je n'ai pas activé le ssh, mais tu fais bien de le préciser pour d' autres lecteurs. J'espère être disponible un jour lors de tes lives, je passerai avec plaisir. Continue ton excellent travail, merci beaucoup 🙏
Moi je me demande ce qu’il se passe avec les brouilleurs de réseaux
Comment savoir les ports ouverts ?
Ou ça ? sur ta box ? sur ton HA ?
Sur la box internet, par default tout est fermé en entrée.
Utilise ce site par exemple : www.nmmapper.com/sys/networkmapper/nmap/online-port-scanning/
Déjà, ouvrir son réseau sur Home Assistant, c'est une grave erreur. Je préconise d'utiliser un réseau wifi spécifique pour la domotique, réseau qui pour ma part n'est connecté à Internet que lorsque j'ai besoin de faire une mise à jour.
Bonjour, c’est intéressant mais comment on fait ! jamais vu cela
Effectivement, c'est le plus sécurisant. Mais pour que HA communique avec nos smartphones (automatisation par rapport au GPS pour l'alarme par exemple), pas le choix !
Salut Jeroneau, tu fais cela avec un VLAN ?
@@makernix j'ai ajouté un routeur Wifi 2.4G en plus (2.4G car certains iot ne supportent pas plus).
@@davidbrasselet406 et bien il suffit d'ajouter un routeur Wifi sur lequel tu branche tous tes appareils IoT/domotiques, ainsi que le Home assistant. J'ai aussi branché un iPad que j'ai fixé au mur sur le même réseau, pour que la famille puisse facilement contrôler la maison (Lumières, capteurs, chauffage, volets, ...).
Tout cela fonctionne de manière indépendante et sans internet et lorsque je veux le mettre à jour (de temps en temps), il me suffit de relier le WAN de ce routeur sur un LAN de ma box, qui elle, a le réseau internet :)
Le plus important, 2FA !!
Tu verra dans les prochaines vidéo que le 2FA ne résout pas tout
@@makernix ça rajoute quand même une grosse couche en plus! Et tous dépend du deuxième facteurs, un code TOTP est moins robuste que fido2 ! Pour casser fido2 c'est très compliqué... Mais malheureusement pas compatible HA actuellement...
On sent qu'Il y a du potentiel c'était un peu putaclic, je reste sur ma faim... home assistant derrière un reverse proxy en https + activation de l'authentification forte native, on est déja au delà de ces attaques de bruteforce et MITM. Et pourtant, je suis persuadé qu'il reste tout un tas de sécu à renforcer. Je m'attendais plutôt à aller au delà de ça
Vidéo très putaclic !
Pourquoi le contenus n’est pas intéressant ?
Pourquoi vous me tutoyez?
T
Donc c'est facile de pirater HA...quand quelqu'un est déjà sur ton réseau.
Bon.
Ca va.
Mfa...
Trop fort ton attaque man in the middle. SI je vais un parallèle pour les utilisateurs novice, c'est comme si vous commencer par donner les clés de votre maison à des voleurs et qu'ils regardent ce qui rentre et ce qui sort. C'est complètement impossible en tout cas sur un réseau maison. Il faut comme on vous le montre modifier votre navigateur pour activer le proxy qui va envoyer les infos chez les hackers.... Avec le titre PutaClic franchement pas top la video.
C’est l’attaquant qui modifie son navigateur à lui il suffit d’avoir un accès à home assistant tu en trouve des milliers sur des sites spécialisé en scan de port. Il semblerait qui tu n’a pas regardé la vidéo entièrement ou pas compris ce qui était fait 😉
Pas cool pour pirater alarmo de ton voisin pour rentrer chez lui.....
٠٠0
slt tres tres bonne video et la morale de cette histoire c'est que l'on a toujours presenté Linux comme la solution car fiable impossible a pirate en fait c'est une vraie passoire alors qu'est ce qui motive de passer a Linux maintenant quans a home assitant il y a une tres forte communauté mais qui a t-il comme personnage dans cette commmunaute????????? et linux et tellement envahi de modules que le risque est grand donc by
by HA pour l'instant
Linux une vrai passoire?????? Impossible à pirater???? Comme toujours le problème ce n'est pas le logiciel mais la personne derrière l'écran. Si les gens arrêtait de faire n'importe, il n'y aurait pas de problème de sécurité
Hello, Jeedom c'est encore plus simple :) Aucun système n'est sécurisé, par contre pour Linux il y a énormément d'outils pour se sécuriser. La sécurité n'est pas par défaut.
"Si ta box réponds au ping c'est pas bon" : faut arrêter de répandre des légendes urbaines. En quoi ICMP est un protocole faillible ?
Dans 99% des cas HA est exposé via le port 443 et/ou 8123: a quoi ca sert de désactiver l'ICMP puisque l'attaquant sait très bien que l'IP est UP : elle réponds en TCP/443. L'ICMP il s'en contrefiche.. Telnet/nmap/curl/firefox lui ont déja donné la réponse ;)
Un peu dommage aussi que tu n'abordes pas l'aspect le plus important de la Cyber : les mises à jours.
Même si tu as du MFA et un mot de passe complexe, s'il y a une CVE qui touche la partie authentification (AU HASARD : libssh ..) de ton HA : tu es mort dans le film.
Avant même de penser au password strong, il faut patcher ses applicatifs et les systèmes qui les portent.
Sur le reste, assez d'accord avec toi, même si je trouve la démo de fuzzing un peu limite .. "Ne le faites pas, mais je vous montre comment faire". Pour ceux qui trouvent la démo simple : l'auteur de la vidéo oublie de préciser qu'il connait le login a l'avance et qu'il ne cherche qu'a deviner le mot de passe. Deviner le couple login/mot de passe, meme avec un password simple, est quasi impossible.
My 2 cents
ah bah merci ça m"a permis de voir que je pouvais me faire pinger