Acces par le port de https

Bonjour à tous,

j'utilise une Protexiom depuis plus de 3 ans. Je me connecte à distance et en local avec mon pc portable. j'utilise toujours http en local c'est plus fluide. Les occupants de mon réseau local on autre chose à faire que d'espionner le trafic vers la centrale !

En effet et quand tu veux te connecter depuis l'extérieur de ton logement (en vacances par exemple) tu fais comment ?
Le HTTP à ses limites et ça n'arrive pas qu'aux autres. ET puis le https existe, sauf qu'il n'est plus utilisable en l'état. On ne demande pas une nouvelle fonction, juste que l'existant fonctionne correctement dans des conditions de sécurité acceptable.

Bonjour,
"ca n'arrive pas qu'aux autres", je suppose que tu évoques le piratage du mot de passe ? . IL faut savoir que la plupart des emails circulent en clair sur internet login et password compris. Si dans tes clients messageries (outlook ou thundurbird) sur pc ou sur smartphone que tu utilises pour récupérer ou envoyer tes emails, tu as configurés un serveur smtp sur le port 25 ou un serveur pop sur le port 110, tes emails circulent en clair.
Je ne sais pas comment fonctionnent les dernières versions des Protexiom mais il y a en plus du code d'accès un code d'authentification qui empêche de se reconnecter à ton alarme même en connaissant le code d'accès. Je trouve ca plutôt efficace, car même avec un logiciel espion sur le pc (et la le https ne changera rien à l'affaire) le malveillant ne pourra pas utiliser mon code d'accès.

Bonjour,

On est entièrement d'accord que ce n'est pas le fait de mettre du https qui rend un site invulnérable, loin de là, surtout dans le cas de connexions aléatoires (en terme de temps et de lieu de connexion à la centrale).

Mais d'un autre côté, pour une centrale d'alame, c'est la base d'être un minimum sécurisé, notamment via le https (y compris sur un réseau local quand on voit le faible niveau de sécurité du wifi des box ADSL (WEP)).

En soit, utiliser du HTTPS en SSLv3 n'est pas forcément gênant, c'est plutôt que comme les navigateurs le bloque, on est obligé d'utiliser du http non sécurisé.

Et cela soulève également un autre problème : cela montre que Somfy ne saurait pas combler une vulnérabilité présente sur leur centrale, que ce soit au niveau du module web (session hijacking, par ex) ou des autres modules (piratage des ondes radios, ...).

D'un autre côté, je ne sais pas si les concurrents font mieux (même si on ne trouve pas de trace de de ce genre de pb sur Google).

Frederic

Bonjour

Pour répondre a Laurent:
l’authentification par code aléatoire est une protection rudimentaire facile a déjouer: il suffit mémoriser l’ensemble des codes sur un centrale. Il n’y en a que 30

Pour répondre à Thomas:
Je crains que se soit la solution définitive. Du moins tant qu’il n’y aura pas un nouveau modèle de centrale. En effet, je ne vois toujours pas comment un mise à jour en ligne pourrait se faire. Néanmoins, à titre personnel, cette solution me convient

Pour répondre à Fréderic:

Https ne représente pas forcement la sécurité car il faut savoir surtout, quel est le protocole de cryptage utilisé derrière.
C’etait SSLv3 dont une grosse faille de sécurité a été découverte en mars 2014
Maintenant ce serait TLSV1.2 qui est un des meilleurs connu à ce jour.

Certes ce n’est pas une garantie définitive mais cela nous protège au moins de la masse des apprentis pirates qui existent par le monde

Je suis d’accord pour dire que le problème vient surtout de la lenteur de la réaction de Somfy pour trouver une solution acceptable (1,5 an). D’autre part l’interface de gestion de la centrale est ancien et largement améliorable; autant du point de vue ergonomique que du point de vue fonctionnel

Pour compléter ma réponse à Fréderic

Les WIFI des box ne son généralement plus configurées par défaut avec WEP (très vulnérable) mais avec WPA2 (un peu meilleur)

Bonjour,

oui Jacques il n'y a que 30 codes, sauf que pour les obtenirs tous il faut intercepter au moins 30 connexion à ta centrale. Si comme moi tu te connectes 1à 2 fois par semaine ca va prendre pas mal de temps. Si en plus tu regénères la carte régulièrement ca limite grandement les risques. Si ca se trouve il y a des utlisateurs qui critiquent le SSLv3 mais qui ont laissé la carte livrée d'usine ?

A propos du SSLv3 oui il y a une faille, oui l'attaque est réalisable, oui on trouve comment faire sur internet, sauf que :
1) la mise en oeuvre réelle n'est pas à la portée du premier venu
2) il faut intercepter le trafic :

• a) soit le réseau local du domicile
• b) soit sur le serveur puisque apparement Somfy a mis en place un proxy
• c) soit chez un Fai : je pense que leurs employés ont autres choses à faire que d'espionner les clients

Pour ceux qui souhaite se connecter en https en local il suffit de ne plus utiliser l'adresse ip locale (mettre un ip bidon dans l'application). En utilisant https://----.alarmesomfy.net on utilise le serveur Somfy.

Les technologies évoluent, on ne peut pas demander systématiquement de mises à jours, parfois ce n'est pas possible techniquement. J'ai une Renault 4CV de 1957, je ne me vois pas demander à Renault de bien vouloir ajouter l'air-bag, les ceintures de sécurités, le rétro coté droit etc etc. Je possède aussi un iPad1, Youtube n'est plus accessible depuis qq semaines et Apple ne le fera pas évoluer.

@ Laurent P. : Donc on ne peux pas demander à un fabricant (ou peut-être juste un simple assembleur de pièces chinoises si ça se trouve vue la réactivité) de matériel de sécurité, en l’occurrence un système d'alarme, de fournir du matériel sécurisé. Dans ce cas, je vais m'empresser de faire une contre publicité des alarmes Somfy. Moi qui voulais investir dans un ou plusieurs détecteurs de fumées Somfy j'ai un doute sur leur capacité à me protéger s'ils sont comme le reste des produits, une vaste fumisterie !

Ouh la la ! Je n'ai pas dis que l'on ne pouvait pas demander de mise à jour, je dis juste que parfois ce n'est pas possible techniquement.
D'autre part je ne connais pas le reste de la gamme (en particulier les détecteurs de fumée) je ne peux donc pas juger. Par contre mon alarme (connectée ou pas) fait son boulot : une intrusion => sonnerie => alerte par sms.
D'ailleurs en parlant de sms pour ceux qui ne veulent pas être connectés à internet on peut la commander en lui envoyant des sms.

POur Laurent P. il y a 11 jours, je sors d'une démo de produits DeltaDore et bizarrement leurs produits connectés se mettent à jour par une simple coupure de l'alimentation électrique puis remise sous tension. Cela provoque une recherche de mise à jour de la passerelle sur les serveurs DeltaDore. Bizarre que Somfy ne sache pas faire.

Pour la réponse de Anna B., autant dire que rien ne sera fait, car cette solution ne résout pas le problème, au mieux il tente de le contourner, mais ceux qui comme moi ne veulent pas passer par les serveurs Somfy sont bloqués en http ou condamné à vendre leur alarme pour passer à la concurrence (DeltaDore par exemple)