Comment protéger son installation domotique: wifi, serveurs, hacks, espionnage, bigbrother et compagnie

En utilisant des objets connectés nous ouvrons les accès à nos données, nos images mais aussi à notre réseau wifi.

Les problèmes sont de différents niveaux.

-L'importance des données
Les données collectées par nos objets sont de très grande importance, car elles permettent de connaitre notre santé, notre mode de vie, nos gouts. Elles sont issues des capteurs mais aussi des micros et des caméras que nous utilisons.
-Les serveurs
Le premier est le fait que l'on partage nos données avec le constructeur du matériel utilisé qui fait passer nos données sur ses serveurs afin entre autre de faire communiquer nos objets avec l'application maison de nos téléphones portables. Nos données peuvent donc être stocké, vendues et être utilisées sans aucun contrôle de notre part.
-Le wifi
Chaque objet connecté en wifi est une porte d'entrée dans notre réseau et ouvre des possibilités de se faire pirater les capteurs, les caméras, les alarmes mais aussi les ordinateurs et téléphones connectés à ce réseau.
-Le réseau
Nos données transitant sur internet elles peuvent être interceptées.

Les solutions sont autour de reprise en main de nos objets.
Comme pour les OS et les logiciels libres le passage est parfois compliqué et la perte en fonctions ou ergonomie en est souvent le prix à payer.
-L'importance des données
Pour éviter de laisser trainer des données importantes la solution la plus simple est de ne pas les produire. Selon l'importance que l'on donne à nos données les outils et les solutions domotiques peuvent être mis en place ou tout simplement non utilisé si aucune solution satisfaisant votre sécurité n'est trouvée. Ainsi l'utilisation d'une caméra connectée peut ne pas être retenu dans un système domotique.
-Les serveurs.
Il existe des alternatives à l'utilisation des serveurs et des applications propriétaires de nos objets connectés. Par exemple il existe sous Android une application open source alternative à Mi Fit qui évite de créer un compte et d'envoyer ses données à Xiaomi : gadgetbridge.org.
Les hacks comme ceux des caméras Xiaomi, des prises SonOff, des ampoules MiLight permettent de reprendre la min sur notre matériel et de se passer des serveurs non contrôlables.
L'utilisation d'un serveur maison open source comme Domoticz permet de reprendre la main sur nos objets et peut éviter de passer par les serveurs centralisés.
-Le wifi
Un firewall et/ou un wifi spécifique aux objets permettent de limiter les risque en les séparant les ordinateurs de la maison et en contrôlant l’accès aux objets.
-Le réseau.
En limitant la transmission non maitrisée de nos données par les points précédents et en sécurisant les transmissions grâce à la cryptographie nous limitons également les risque réseau.

Je reviendrais en détail sur quelques réalisations.

Comment crypter nos mails

Nous avons déjà aperçu certaines solutions pour communiquer plus discrètement. Voici maintenant un focus sur la sécurisations de nos mails.

Je vous conseillez d'utiliser une adresse mail fournie par votre FAI (sans l'option de stockage) ou celle associé à votre nom de domaine acheté chez ovh par exemple. Puis l'utilisation de Thunderbird remplaçant la Messagerie Outlook vous permettra de stocker vous même vos mails, les archiver et les sauvegarder. Pour éviter que vos mails soient lus lors de le leurs envois vous devez les crypter avec par exemple le GPG. GPG est utilable sur Thunderbird mais également en utilisant des services de webmail comme ceux de Protonmail , les plugins Mailvelope pour navigateurs et même la messagerie de Facebook.

Protonmail permet de récupérer sa clef publique de cryptage mais ne permet pas encore d'en utiliser pour envoyer des mails aux non utilisateur du service.

Mailvelope permet de crypter et décrypter ses mails par GPG (OpenPGP) sur les webMails GMail, YahooMail, Outlook.com et GMX CaraMail grâce à des plugins sur les navigateurs Firefox et Chrome

Remarque: Thunderbird avec Enigmail peux envoyer des messages crypter vers Protonmail mais l'inverse n'est pas encore possible. Effectivement, Protonmail permet d'exporter sa clé publique et donc de la prendre en charge par Enigmail et Thunderbird mais Protonmail ne permet pas de crypter avec une clé publique et donc de communiquer par GPG avec des mails d'autres domaines.

Facebook peut être intéressant pour toucher les accros à leurs services.


Il est cependant indispensable de garder son autonomie. Pour cela il est intéressant d'utiliser le plug-in de cryptage Enigmail sur Thunderbird qui permet avec le logiciel GPG (inclus sous Ubuntu, GPG4Win pour Windows ou GpgSuite pour OSX) de facilement crypter et décrypter nos mails.
Voici le tutoriel pas à pas réalisé par Korben  pour les installer.

Il existe également une équivalence sous Android: OpenKeyChain avec le client K9 Mail .

Vous pouvez coupler GPG avec les services pop ou imap des webmails classiques comme gmail ou plus personnels comme ceux de votre propre domaine.

L'étape suivante est d'héberger son propre serveur de mails mais les contraintes sont bien plus grande.

Partagez maintenant votre clef publique GPG afin que vos contacts puissent vous envoyer des messages crypter. Il existe aussi des serveurs de partage de clefs accessibles depuis Enigmail qui permettent de trouver celles de vos contacts.