Tor, Guardian Projet et Home Assistant proposent un guide pour monter soi-même un serveur domotique open source passant par le réseau Tor. Le but est évidemment de sécuriser les connexions.
Les objets connectés vont occuper une place de plus en plus importante dans notre vie de tous les jours et ce n'est pas l'ARCEP qui dira le contraire. Au-delà de la problématique des réseaux bas débits et de la multitude des protocoles de communication se pose la question de la vie privée et de la sécurité. En effet, des brèches plus ou moins importantes remontent à la surface sur des caméras, des voitures, des thermostats, etc. Les conséquences peuvent parfois être dramatiques.
Tor, Guardian Project (une association qui propose de nombreux outils et application pour sécuriser les données) et Home Assistant ont décidé de proposer une solution permettant aux objets connectés de passer par le réseau Tor et ainsi disposer d'une sécurité et d'une confidentialité renforcée.
Home Assistant est un serveur domotique open-source basée sur Python 3 (disponible dans ce dépôt GitHub) qui peut s'installer sur de nombreuses machine, un Raspberry Pi par exemple. Un guide est d'ailleurs disponible ici en français. Il permet de gérer tout un tas d'objets connectés allant des thermostats aux ampoules, en passant par des capteurs météorologiques et bien d'autres.
Afin d'ajouter une couche de confidentialité, Nathan Freitas (contributeur au projet Tor et directeur exécutif du Guardian Project) propose un petit guide baptisé « Tor Onion Service Configuration » qui explique comment configurer un accès Tor à Home Assistant.
Ainsi, les objets connectés passent directement par le réseau Tor et « ne sont jamais exposés sur l'Internet ouvert à tous [...] les pirates doivent ainsi composer avec un réseau mondial de nœuds » explique Tor sur son blog.
Commentaires (25)
#1
Ca risque pas d’encombrer Tor ? Et quid de la latence élevée, pas trop génante pour les objets ?
Ensuite la motivation des hébergeurs de noeuds sera-t-elle la même pour proteger un thermostat connecté que pour un dissident chinois ? J’ai quelques doutes.
#2
En voilà une bonne nouvelle. M’en vais creuser tout ça. La domotique, les objets connectés et ma vie privée sont incompatible en état.
#3
“Ainsi, les objets connectés passent directement par le réseau Tor et « ne sont jamais exposés sur l’Internet ouvert à tous […] les pirates doivent ainsi composer avec un réseau mondial de nœuds » explique Tor sur son blog.”
Wép, mais comme on sait qu’il y a des “noeuds espions”, c’est pas très secure.
Si les chinois du FBI veulent te couper le chauffage en plein hiver parce que t’as téléchargé le dernier album de Taylor Swift, ben t’es cuit, ils auront accès à ton thermostat connecté…. => []
#4
Ils sont bien gentils, mais il manque une planche plus simple qui résoudrait les problèmes :
un vpn ou même toute autre connexion sécurisée entre le PC et un Pi qui relaie vers les objets connectés.
Inutile de mobiliser TOR pour cela.
C’est très comparable en complexité d’installation.
#5
Mouai…Tor a quand même subit quelques coups ces derniers temps. Perso tous mes objets connectés passent d’abord par mon firewall pfsense et j’autorise le stricte minimum à sortir. L’étape d’après ça serait de mettre éventuellement un proxy, jamais eu le temps de le faire.
Après ce qu’il ne faut pas oublier, c’est que les menaces viennent de l’extérieur oui, mais il ne faut pas oublier qu’elles peuvent aussi et souvent venir de l’intérieur, d’où l’intérêt d’au moins router les appareils par un firewall central et minimiser le traffic sortant autorisé.
J’avais des caméra Wanscam, le truc chinois bien pourri, j’peux vous dire que des infos vers l’internet, ça en envoyait beaucoup, vers des IP chinoises en plus…
#6
par contre prévoir 45 secondes pour allumer vos lampes
#7
#8
#9
ouais … là on parle des “objets” connectés … fixes ..
quid des objets connectés mobiles ( la montre bien bavarde sur votre etat de santé, le casque bluetooth etc …)
#10
Bah tu la branches à un RPi. " />
#11
hmmm…you touch my tralala " />, désolé, pas pu m’en empêcher, depuis que j’ai vu ton pseudo et avatar je l’ai dans la tête xD
#12
#13
#14
#15
#16
Ou allumer la lumière chez toi de manière intempestive…
Jour ! Nuit ! Jour ! Nuit !
Ou alors, ça va faire tout noir !
" />
#17
Je t’avoue que j’y avais même pas pense pour moi c’était un fork de trololololo avec un photo tirée de New Kids Turbo (magique) !! " />
Mais je valide, et je connais mon prochain avatar ! merci !!
#18
ta gueule ! " />
#19
Et sinon pour éviter tout ça, le mieux c’est de ne pas en acheter, vous croyez pas ?
#20
#21
Faut savoir vivre avec son temps sans pour autant croire qu’on est au temps des bisounours.
Vu comme les constructeurs sont incapables de vérouiller correctement leurs appareils (que ce soit les TV, les caméras IP etc.) et surtout de les mettre à jour (suffit de voir Android), ben il faut savoir s’éduquer un peu sur la sécurité, pas besoin d’être un pro pour adopter des principes de base assez simples:
La grande majorité des attaques aujourd’hui se font encore et toujours grâce au social engineering!
#22
La plupart de ces objets relèvent pour moi du gadget plus que d’une réelle utilité. Notamment tout ce qui lampes.
Et pas parce que je suis contre les objets connectés en général que je ne mets pas d’accès à distance à mon serveur/NAS ou PC, bien au contraire, mais là au moins je sais comment ça se comporte, que je n’ai pas de ports ouverts à mon insu, etc…
Bref, avoir 2-3 accès à distance ça va, avoir 3 tonnes d’objets connectés en accès depuis l’extérieur, c’est ingérable et limite dangereux…
#23
#24
#25
Je pense que c’est de la com pour ajouter une utilisation légale à TOR en surfant sur la hype de l’Internet des objets.
À moins que cela soit pour que les dealers puissent utiliser les objets connectés et surveillé la production de leur usine de coke et se vidéoprotéger contre la police. ^_^