Page 1 sur 1

Sécuriser votre domoticz !!! SHODAN IO

Publié : 14 janv. 2019, 15:12
par fratton
Il est quand même incroyable de trouver des dizaine de domoticz non sécurisés (login/mot de passe) sur SHODAN.IO

Je me suis limité à la France (country:"FR") et j'ai juste rechercher ceux qui n'ont aucun mot de passe ! Pas ceux qui ont mis admin/admin ou 1234, non, seulement ceux chez qui on tombe directement sur le tableau de bord !!!

Le pire est que certain sont quand même des utilisateurs avancés avec des scripts LUA, des dizaines de capteurs... Certains ont même leur domoticz en SSL, mais tout ceci sans aucun mot de passe.

Ils n'imaginent pas bien les risques ! On trouve l'emplacement exact de leur maison (grâce au coordonnées GPS du menu paramètre), leur email... Et quand on vois que certain interrupteur sont pour "ouvrir le garage", et que sur google street view on vois que la maison à une porte basculante, on suppose qu'elle est simplement motorisée !!! :o Cerise sur le gâteau, on peut savoir si il y a du monde à la maison avec les détecteurs de mouvement, et les caméras IP !

ALORS SÉCURISEZ VOTRE DOMOTIQUE !

https://easydomoticz.com/domoticz-et-le ... -domicile/
https://easydomoticz.com/chez-cest-open-bar/

Re: Sécuriser votre domoticz !!! SHODAN IO

Publié : 14 janv. 2019, 22:19
par Neutrino
Salut,
Je viens d'y faire un tour et je ne suis malheureusement qu'à moitié étonné... :(
Le plus dur étant de contacter la personne pour prévenir.
J'ai vu que sur certaines installations, un capteur text est mystérieusement apparu :mrgreen: .
J'en ai contacté un via le forum grace à son @mail dans les paramètres.

Merci pour le site ;)

Re: Sécuriser votre domoticz !!! SHODAN IO

Publié : 14 janv. 2019, 23:38
par DumpDos
fratton a écrit : 14 janv. 2019, 15:12 Il est quand même incroyable de trouver des dizaine de domoticz non sécurisés (login/mot de passe) sur SHODAN.IO
...
Bonsoir,

Et encore, je trouve cela gentillet d'avoir accès à des panels de gestion de DZ.
Pour m'être baladé assez souvent sur shodan, on peut y trouver bien pire...

Tenez, Et hop ! Une interface de gestion d'un parc éolien avec toutes les commandes de découplage ! :mrgreen: :
Image
Neutrino a écrit : 14 janv. 2019, 22:19 J'ai vu que sur certaines installations, un capteur text est mystérieusement apparu :mrgreen: .
Un capteur du genre "Changez votre mot de passe " ? Non ? :mrgreen:

Plaisanterie mise à part, comme Neutrino l'a dit, ça ne m'étonne aussi qu'à moitié.
On ne répètera jamais assez, mais faîtes attention quand vous ouvrez un accès vers l'extérieur.
C'est peu comme laisser sa porte d'entrée ouverte, 99,9% du temps il ne se passera rien, et puis un beau jour vous retrouverez quelqu'un qui n'a rien à faire chez vous...

Dump

Re: Sécuriser votre domoticz !!! SHODAN IO

Publié : 14 janv. 2019, 23:57
par cyberbob
fratton a écrit : 14 janv. 2019, 15:12 ... ceux qui n'ont aucun mot de passe ! Pas ceux qui ont mis admin/admin ou 1234, non, seulement ceux chez qui on tombe directement sur le tableau de bord !!!...
Cela veux dire que dans "Réglage/paramètre/Système/Sécurité" : Les champs identifiant/mot de passe ne sont pas configurer et sont rester vide ?
Je me souvient plus si domoticz est configurer de la sorte par défaut sans mot de passe ?

Re: Sécuriser votre domoticz !!! SHODAN IO

Publié : 15 janv. 2019, 08:04
par DumpDos
Oui, il me semble que dz n'a pas de mot de passe par défaut. C'est la première chose à modifier après son installation.

Dump

Envoyé de mon SM-J730F en utilisant Tapatalk


Re: Sécuriser votre domoticz !!! SHODAN IO

Publié : 15 janv. 2019, 08:34
par fratton
DumpDos a écrit : 14 janv. 2019, 23:38
Neutrino a écrit : 14 janv. 2019, 22:19 J'ai vu que sur certaines installations, un capteur text est mystérieusement apparu :mrgreen: .
Un capteur du genre "Changez votre mot de passe " ? Non ? :mrgreen:
Capture.JPG
Capture.JPG (16.27 Kio) Consulté 9259 fois
Hé, hé, c'est trés gentil ça ;)

DumpDos a écrit : 15 janv. 2019, 08:04 Oui, il me semble que dz n'a pas de mot de passe par défaut. C'est la première chose à modifier après son installation.
Oui, je trouve même un peu limite de la part du/des développeurs de Domoticz de ne pas faire la création d'un mot de passe à la première installation (pas un mot de passe par défaut, une création). Libre ensuite à l'utilisateur de désactiver la sécurité pour ses besoins. Je suis d'accord que cela revient à l'utilisateur de sécuriser son installation, et c'est lui le responsable, mais le développeur étant un "expert", il a aussi sa responsabilité sachant que la domotique est couramment utilisé à distance.