Sécuriser votre domoticz !!! SHODAN IO

Discuter de tout et de rien, c'est ici
Répondre
fratton
Messages : 147
Enregistré le : 19 août 2015, 16:38

Sécuriser votre domoticz !!! SHODAN IO

Message par fratton » 14 janv. 2019, 15:12

Il est quand même incroyable de trouver des dizaine de domoticz non sécurisés (login/mot de passe) sur SHODAN.IO

Je me suis limité à la France (country:"FR") et j'ai juste rechercher ceux qui n'ont aucun mot de passe ! Pas ceux qui ont mis admin/admin ou 1234, non, seulement ceux chez qui on tombe directement sur le tableau de bord !!!

Le pire est que certain sont quand même des utilisateurs avancés avec des scripts LUA, des dizaines de capteurs... Certains ont même leur domoticz en SSL, mais tout ceci sans aucun mot de passe.

Il n'imagine pas bien les risques ! On trouve l'emplacement exact de leur maison (grâce au coordonnées GPS du menu paramètre), leur email... Et quand on vois que certain interrupteur sont pour "ouvrir le garage", et que sur google street view on vois que la maison à une porte basculante, on suppose qu'elle est simplement motorisée !!! :o Cerise sur le gâteau, on peut savoir si il y a du monde à la maison avec les détecteurs de mouvement, et les caméras IP !

ALORS SÉCURISER VOTRE DOMOTIQUE !

https://easydomoticz.com/domoticz-et-le ... -domicile/
https://easydomoticz.com/chez-cest-open-bar/
Raspberry Pi B+ / RF-Link 433MHz / divers device maison 433MHz et Wifi

Disable adblock

This site is supported by ads and donations.
If you see this text you are blocking our ads.
Please consider a Donation to support the site.


Neutrino
Messages : 1169
Enregistré le : 10 juil. 2015, 15:42
Localisation : Challans (85)
Contact :

Re: Sécuriser votre domoticz !!! SHODAN IO

Message par Neutrino » 14 janv. 2019, 22:19

Salut,
Je viens d'y faire un tour et je ne suis malheureusement qu'à moitié étonné... :(
Le plus dur étant de contacter la personne pour prévenir.
J'ai vu que sur certaines installations, un capteur text est mystérieusement apparu :mrgreen: .
J'en ai contacté un via le forum grace à son @mail dans les paramètres.

Merci pour le site ;)
Ma maison à plein d'IP ! :mrgreen:

DumpDos
Messages : 75
Enregistré le : 01 juin 2016, 20:09
Localisation : Grenoble (38)

Re: Sécuriser votre domoticz !!! SHODAN IO

Message par DumpDos » 14 janv. 2019, 23:38

fratton a écrit :
14 janv. 2019, 15:12
Il est quand même incroyable de trouver des dizaine de domoticz non sécurisés (login/mot de passe) sur SHODAN.IO
...
Bonsoir,

Et encore, je trouve cela gentillet d'avoir accès à des panels de gestion de DZ.
Pour m'être baladé assez souvent sur shodan, on peut y trouver bien pire...

Tenez, Et hop ! Une interface de gestion d'un parc éolien avec toutes les commandes de découplage ! :mrgreen: :
Image
Neutrino a écrit :
14 janv. 2019, 22:19
J'ai vu que sur certaines installations, un capteur text est mystérieusement apparu :mrgreen: .
Un capteur du genre "Changez votre mot de passe " ? Non ? :mrgreen:

Plaisanterie mise à part, comme Neutrino l'a dit, ça ne m'étonne aussi qu'à moitié.
On ne répètera jamais assez, mais faîtes attention quand vous ouvrez un accès vers l'extérieur.
C'est peu comme laisser sa porte d'entrée ouverte, 99,9% du temps il ne se passera rien, et puis un beau jour vous retrouverez quelqu'un qui n'a rien à faire chez vous...

Dump
Raspberry Pi 2 - Domoticz bêta- Custom Page - RfxTrx433E - MySensors - Z-Stick Gen 5
6 x DIO 54795 - 4 x DIO 54781 - 2 x Home Confort ECR-100 - 4 X THGR122NX - 1 X OWL Micro+
2 X RGB - 3D - 2 X Switch - 1 X Ir Rx-Tx
1 X Fibaro FGMS-001

cyberbob
Messages : 434
Enregistré le : 28 nov. 2016, 19:43
Localisation : Belgique

Re: Sécuriser votre domoticz !!! SHODAN IO

Message par cyberbob » 14 janv. 2019, 23:57

fratton a écrit :
14 janv. 2019, 15:12
... ceux qui n'ont aucun mot de passe ! Pas ceux qui ont mis admin/admin ou 1234, non, seulement ceux chez qui on tombe directement sur le tableau de bord !!!...
Cela veux dire que dans "Réglage/paramètre/Système/Sécurité" : Les champs identifiant/mot de passe ne sont pas configurer et sont rester vide ?
Je me souvient plus si domoticz est configurer de la sorte par défaut sans mot de passe ?
Domoticz Stable V4.9700 sur Synology DSM 6.2 / 2 x RFlink V48.4 - 433.92MHz(Dio/Chacon) & 433.42MHz(RTS) / Script en LUA & Blocky

Disable adblock

This site is supported by ads and donations.
If you see this text you are blocking our ads.
Please consider a Donation to support the site.


DumpDos
Messages : 75
Enregistré le : 01 juin 2016, 20:09
Localisation : Grenoble (38)

Re: Sécuriser votre domoticz !!! SHODAN IO

Message par DumpDos » 15 janv. 2019, 08:04

Oui, il me semble que dz n'a pas de mot de passe par défaut. C'est la première chose à modifier après son installation.

Dump

Envoyé de mon SM-J730F en utilisant Tapatalk

Raspberry Pi 2 - Domoticz bêta- Custom Page - RfxTrx433E - MySensors - Z-Stick Gen 5
6 x DIO 54795 - 4 x DIO 54781 - 2 x Home Confort ECR-100 - 4 X THGR122NX - 1 X OWL Micro+
2 X RGB - 3D - 2 X Switch - 1 X Ir Rx-Tx
1 X Fibaro FGMS-001

fratton
Messages : 147
Enregistré le : 19 août 2015, 16:38

Re: Sécuriser votre domoticz !!! SHODAN IO

Message par fratton » 15 janv. 2019, 08:34

DumpDos a écrit :
14 janv. 2019, 23:38
Neutrino a écrit :
14 janv. 2019, 22:19
J'ai vu que sur certaines installations, un capteur text est mystérieusement apparu :mrgreen: .
Un capteur du genre "Changez votre mot de passe " ? Non ? :mrgreen:
Capture.JPG
Capture.JPG (16.27 Kio) Vu 612 fois
Hé, hé, c'est trés gentil ça ;)

DumpDos a écrit :
15 janv. 2019, 08:04
Oui, il me semble que dz n'a pas de mot de passe par défaut. C'est la première chose à modifier après son installation.
Oui, je trouve même un peu limite de la part du/des développeurs de Domoticz de ne pas faire la création d'un mot de passe à la première installation (pas un mot de passe par défaut, une création). Libre ensuite à l'utilisateur de désactiver la sécurité pour ses besoins. Je suis d'accord que cela revient à l'utilisateur de sécuriser son installation, et c'est lui le responsable, mais le développeur étant un "expert", il a aussi sa responsabilité sachant que la domotique est couramment utilisé à distance.
Raspberry Pi B+ / RF-Link 433MHz / divers device maison 433MHz et Wifi

sikar
Messages : 2
Enregistré le : 19 févr. 2019, 06:35
Contact :

Re: Sécuriser votre domoticz !!! SHODAN IO

Message par sikar » 19 févr. 2019, 07:39

C'est mon deuxième poste sur le forum et pour débuter la sécurité est l'un des premiers points pour lequel je souhaite monter en compétences.
Bon, il faut dire qu'hier j'ai vu un mini-reportage sur les serrures connectées et les failles identifiées pour certains systèmes.
Le site révélateur de talents web

Disable adblock

This site is supported by ads and donations.
If you see this text you are blocking our ads.
Please consider a Donation to support the site.


Répondre