Chers utilisateurs,

Nous rencontrons actuellement des ralentissements sur nos serveurs pouvant impliquer des difficultés à vous connecter à Tahoma et Somfy Protect.

Nos équipes sont actuellement dédiées à la résolution de ce problème et nous vous tiendrons informés de l’avancement de la situation via ce bandeau d’information.

Veuillez nous excuser pour la gêne occasionnée et nous vous remercions pour votre compréhension.

L’équipe des Yellow’s SOMFY  

Question en attente de réponse

Acces Internet et SSL V3

Bonjour suite à la faille de sécurité sur le protocole SSL V3.

http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/CERT...

Les navigateurs les plus connus ont désactivé ce protocole, malheureusement le protocole ssl V3 est le seul moyen de communication intégré à nos alarmes, même pas un pauvre TLS qui trainerais dans un coin.

Donc, va-t-il y avoir une Maj de central ou devons nous la racheter. Puisque la politique de Somfy n'est pas de MAJ des centrales. http://forum.somfy.fr/questions/725201-maj-protexial

Le certificat n'est pas en cause. La date de validité est bonne et le contrôle inverse du crs valide plusieurs points.

Subject
Common name (CN) *.alarmesomfy.net
Nom de la société (O) Domis SA
Emplacement (L) Cluses
Région (ST) Haute-Savoie
Pays (C) FR
Email admin@alarmesomfy.net

Fingerprint (SHA-1)
8A:44:EB:6A:A2:8E:9B:1B:AF:CE:AE:C6:6D:0C:92:01:51:EB:58:15
Fingerprint (MD5)
96:6B:0C:2F:FF:2A:6D:09:E9:BE:69:99:3F:0D:83:2F

Certificate Detailed Information
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 15532316695802785547 (0xd78ddfbdb831af0b)
Signature Algorithm: sha1WithRSAEncryption
Issuer:
emailAddress = admin@alarmesomfy.net
commonName = *.alarmesomfy.net
organizationName = Domis SA
localityName = Cluses
stateOrProvinceName = Haute-Savoie
countryName = FR
Validity
Not Before: Oct 27 17:02:16 2009 GMT
Not After : Oct 25 17:02:16 2019 GMT
Subject:
emailAddress = admin@alarmesomfy.net
commonName = *.alarmesomfy.net
organizationName = Domis SA
localityName = Cluses
stateOrProvinceName = Haute-Savoie
countryName = FR
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (512 bit)
Modulus:
00:c3:b7:9e:c6:3d:41:7c:f0:71:bb:46:38:f8:e8:
15:7d:3a:8a:6c:f0:1c:70:05:31:48:42:73:df:39:
96:8b:dd:d7:3d:c7:fa:4e:19:f8:22:c1:0a:84:d8:
1a:57:40:c7:92:85:cd:f9:da:8c:a2:93:51:3b:36:
b8:aa:cf:09:71
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
08:8B:9A:89:72:E4:92:A8:5B:C7:4A:3E:A0:E4:03:D6:9E:41:8F:DD
X509v3 Authority Key Identifier:
keyid:08:8B:9A:89:72:E4:92:A8:5B:C7:4A:3E:A0:E4:03:D6:9E:41:8F:DD
DirName:/C=FR/ST=Haute-Savoie/L=Cluses/O=Domis SA/CN=*.alarmesomfy.net/emailAddress=admin@alarmesomfy.net
serial:D7:8D:DF:BD:B8:31:AF:0B

X509v3 Basic Constraints:
CA:TRUE
Signature Algorithm: sha1WithRSAEncryption
00:75:69:d1:c1:98:c1:2b:f8:61:51:b5:bf:d3:26:02:a9:8f:
b8:dd:b6:85:8c:c1:16:74:61:80:fd:e5:77:8f:be:67:9d:0f:
12:42:63:90:4e:c1:2b:af:75:7b:75:0c:1f:16:93:a8:25:68:
55:4d:07:cf:d0:e1:fc:6c:00:dd

cedric C.
cedric C.

cedric C.

Niveau
1
463 / 750
points
  • Partager cette question

    Réponses

    Christophe P.
    Christophe P.

    Christophe P.

    Niveau
    0
    67 / 100
    points

    J'ai le même soucis ! Impossible d’accéder a la central (adresse ip fixe sur mon reseau). Une mise a jour de la centrale serait la bienvenue !!
    En http il me demande le https, mais en https j'ai cette erreur "Code d'erreur : ssl_error_no_cypher_overlap".

    Christophe P.
    Christophe P.

    Christophe P.

    Niveau
    0
    67 / 100
    points

    J'ai trouvé une parade, pas tres cool...mais bon.
    J'ai installé un vieux navigateur qui utilise encore ssl2. J'ai accés a la central et de-activer le https !
    Bon au niveau securité c'est pas le top !
    J'ai utilsé Aroa sous linux

    cvvav O.
    cvvav O.

    cvvav O.

    Niveau
    1
    156 / 750
    points

    bjr
    quel navigateur ?
    j'avais installé chrome, mais il a aussi été mis à jour et maintenant de nouveau bloqué
    je trouve que somfy ne fait pas preuve de professionnalisme sur le coup et nous répondant au compte goutte et sans réelles solutions.
    nos centrales sont connectées à internet, pourquoi ne pas procéder à des majs à distances ?

    cvvav O.
    cvvav O.

    cvvav O.

    Niveau
    1
    156 / 750
    points

    Ici : des anciens navigateurs compatibles
    j'ai téléchargé et installé opéra, uniquement pour l'alarme, rien d'autre
    la maj est desactivée
    http://arc.opera.com/pub/opera/win/800/en/

    Hugues M.
    Hugues M.

    Hugues M.

    Niveau
    1
    118 / 750
    points

    Voici une solution en attendant que Somfy se bouge.
    Avec Firefox dernière version: dans la barre d'URL tapez about:config.

    Ensuite recherchez le paramètre : security.tls.version.min et passez la valeur à 0.

    F5 pour rafraîchir, et tout est OK.

    E T.
    E T.

    E T.

    Niveau
    0
    13 / 100
    points

    J'ai aussi le même problème avec une centrale Protexiom.
    Espérons que Somfy proposera une solution rapide et efficace à ses clients pour mettre à jour un nouveau protocole de com.

    Chris B.
    Chris B.

    Chris B.

    Niveau
    1
    288 / 750
    points

    Bonjour à Tous,
    Je viens de faire le process décrit par cvvav O. (changement du paramètre security.tls.version.min) et cela fonctionne bien.
    Merci beaucoup,
    Cdt

    Karl M.
    Karl M.

    Karl M.

    Niveau
    0
    84 / 100
    points

    Bonjour,

    Je viens aussi de faire le process décrit par cvvav O. (changement du paramètre security.tls.version.min) et cela ne fonctionne pas (Firefox 37.0.2 sur Windows 7). J'obtiens le message suivant (avec la vraie adresse IP de la centrale):

    Échec de la connexion sécurisée

    Une erreur est survenue pendant une connexion à <<adresse ip de la centrale>>. Impossible de communiquer en mode sécurisé avec le pair : aucun algorithme de chiffrement en commun. (Code d'erreur : ssl_error_no_cypher_overlap)

    Je souhaiterai moi aussi savoir quand un correctif sera mis au point par Somfy et comment se passera la mise à jour. De plus, comment serons-nous prévenus ?

    A+

    cvvav O.
    cvvav O.

    cvvav O.

    Niveau
    1
    156 / 750
    points

    Bonjour Karl

    Depuis j'ai posté un autre message.
    J'utilise uniquement pour Somfy un vieux navigateur Opéra - plus de pb - mais que pour somfy !

    Ici : des anciens navigateurs compatibles
    j'ai téléchargé et installé opéra, uniquement pour l'alarme, rien d'autre
    la maj est desactivée
    http://arc.opera.com/pub/opera/win/800/en/

    Thomas M.
    Thomas M.

    Thomas M.

    Niveau
    4
    5000 / 5000
    points
    Equipe

    Bonjour à tous,

    Le 24 septembre, nous avons mis en place un reverse proxy pour assurer les échanges entre un point de contact externe et nos centrales, nos serveurs.

    Ce reverse proxy utilise pour la communication entre le proxy et le navigateur le protocole TLSv1.2. Le certificat n’est plus autosigné, il est maintenant délivré par une autorité officielle ce qui implique qu’il n’y aura plus d’alerte de certificat.

    L’algorithme de chiffrement sera désormais le SHA-256 qui est compatible avec tous les navigateurs ainsi que IOS9.

    Cette modification permet de nouveau l’accès à distance au système d’alarme par le biais du port sécurisé.

    Merci pour votre compréhension et veuillez de nouveau nous excuser pour le délais de mise en place de cette solution.

    Bonne journée,

    Stéphane L.
    Stéphane L.

    Stéphane L.

    Niveau
    1
    214 / 750
    points

    Bonjour,
    Est-ce quelqu'un a compris en quoi le reverse proxy résoud ce probleme ? Je me connecte toujours sur ma centrale en utilisant http, le https ne fonctionnant pas. Comment faire pour se connecter avec https ?

    Christophe P.
    Christophe P.

    Christophe P.

    Niveau
    0
    67 / 100
    points

    @Stephane.L
    J'ai pas tout compris, je pense que leurs reverse proxy est placé sur leurs serveurs...
    Personnellement, je me connecte toujours en http et non en https.. pour moi cela ne fonctionne pas.
    Si quelqu'un peut nous affirmer que cela fonctionne et le tuto pour le mettre en place, je suis preneur.

    Thomas M.
    Thomas M.

    Thomas M.

    Niveau
    4
    5000 / 5000
    points
    Equipe

    Bonjour Stéphane et Christophe,

    En connexion locale (sur un ordinateur connecté à internet via la même box ADSL que celle où est raccordée le système d'alarme), il vous faut impérativement vous connecter en HTTP comme il a toujours été demandé.

    Toutefois en accès à distance (sur un ordinateur connecté à internet via une autre box ADSL que celle où est raccordée le système d'alarme), vous pouvez vous connecter en HTTPS.

    Bonne journée,

    Christophe P.
    Christophe P.

    Christophe P.

    Niveau
    0
    67 / 100
    points

    Merci Thomas pour la réponse.
    Je viens de tester de l’extérieur (du web) en https.
    "Ce site ne peut pas fournir de connexion sécurisée", dois je modifier mon paramétrage au niveau de la console ?

    Stéphane L.
    Stéphane L.

    Stéphane L.

    Niveau
    1
    214 / 750
    points

    Bonjour,

    Je crois que je viens de comprendre un truc :

    EN RESUME :
    En résumé, avec la solution Somfy, il faut utiliser https://[Mon compte].alarmesomfy.net :
    1/ Tout passe en clair sur internet (mot de passe compris) entre votre box et le serveur de Somfy
    2/ Le serveur de Somfy encrypte la page, et la transmet à votre naviguateur. Votre navigateur ne voit que la page qui est encryptée.

    EN DETAIL :
    En fait, si on accède directement à la box en https, ca ne marche pas. Depuis l'exterieur, ou en connection locale, ca ne marche pas.

    Par contre, Somfy a mis en place un service spécial sur leurs serveurs. Je m'explique :
    Dans la procédure de configuration de votre alarme, Somfy indique qu'il faut créer un compte sur "alarmesomfy.net". Ce compte va créer un lien entre un nom de compte (par exemple [Mon compte]) et l'adresse IP sur laquelle votre alarme est accessible. Et grâce à ce lien, vous aurez accès en httpS (et non plus http) à votre box en utilisant l'adresse "https://[Mon compte].alarmesomfy.net".

    Comment ca marche ? Et bien le serveur Somfy recoit une demande de page sur "alarmesomfy.net" en https (crypté), et le serveur de Somfy pose la même demande à votre box Somfy que vous avez enregistré, mais en http (non crypté) cette fois. Le serveur de Somfy peut le faire car vous avez créer une association entre votre compte Somfy et votre box (l'adresse IP) lors de votre création de compte.
    Cela s'appelle du "reverse proxy".

    CONCLUSION :
    A vous de juger si cela est suffisament sécurisé. Il ne reste plus qu'à espèrer que le cambrioleur qui voudra passer chez moi ne s'y connait pas trop en informatique...

    Christophe P.
    Christophe P.

    Christophe P.

    Niveau
    0
    67 / 100
    points

    Bonjour,

    Personnellement, je passe pas par le site alarmesomfy.net (d'ailleur j'ai pas de compte). je gère tout de mon coté avec le site no-ip pour pouvoir avoir un nom de domaine fixe.

    Thomas M.
    Thomas M.

    Thomas M.

    Niveau
    4
    5000 / 5000
    points
    Equipe

    Bonjour Stéphane et Christophe,

    Stéphane, je vous confirme que vous avez bien cerné le problème et la mise en place du reverse proxy pour ne plus rencontrer de problèmes de connexions à distance. Mais il est important de préciser que les différents navigateurs et systèmes d'exploitations ont bloqué le protocole de cryptage SSL v3 suite à la découverte d'une faille de sécurité. Cette faille concerne principalement le chiffrement par bloc en mode CBC.

    Nous vous informons que nos systèmes d'alarmes n'utilisent pas ce mode de chiffrement et fonctionnent par flux RC4, qui à ce jour assure la sécurité de connexion entre votre centrale et notre serveur.

    Le blocage effectué par les systèmes d'exploitation et les autres navigateurs englobe l'ensemble des chiffrements du protocole SSL v3.

    Christophe, il est sur que si vous ne respectez pas les indications de la notice, nous ne pourrons en aucun cas garantir le fonctionnement de votre accès à distance. Il est obligatoire de passer par nos serveurs en créant un compte d'accès à distance sur le site http://www.alarmesomfy.net si vous souhaitez bénéficier de l'accès à distance et de l'application smartphone.

    Merci de votre compréhension

    Cordialement.

    Christophe P.
    Christophe P.

    Christophe P.

    Niveau
    0
    67 / 100
    points

    Merci, je vais voir pour paramétrer de manière correcte, en passant par votre site.

    Haut de page