La domotique Home Assistant affectée par une faille de sécurité! Faites la MAJ rapidement

Les systèmes domotiques sont avant tout des systèmes informatiques. De fait ,ils ne sont pas exempts de problèmes de sécurité, comme tout autre système IT. C’est d’ailleurs actuellement le cas avec le système domotique Home Assistant pour lequel une importante faille de sécurité vient d’être divulgué.

La version superviseur de Home Assistant spécifiquement impactée

Par un communiqué sur le blog officiel Home Assistant, Nabu Casa informe ses utilisateurs d’une brèche de sécurité importante découverte sur son système domotique dans la version superviseur. Toutes les versions “supervisor” du système sont donc touchées. Pour rappel la version supervisée est la version de Home Assistant qui s’installe en complément d’un système d’exploitation (Debian, Ubuntu, Raspbian …) Les autres versions (Core, Docker ou HAOS), ne sont en revanche pas touchées.

À propos de la faille de sécurité

La publication de sécurité CVE-2023-27482 donne plus amples détails sur ce problème de sécurité. Le problème permet à un attaquant de contourner à distance l’authentification et d’interagir directement avec l’API du superviseur. Cela donne à l’attaquant l’accès à l’installation des mises à jour de Home Assistant et à la gestion des modules complémentaires et des sauvegardes. Ce problème semble exister depuis le lancement de Supervisor en 2017, il n’est donc pas récent, mais sa divulgation change tout …

Cela affecte tous les types d’installation de Home Assistant qui utilisent le superviseur 2023.01.1 ou une version antérieure. Home Assistant Core 2023.3.0 incluait une atténuation de cette vulnérabilité. La mise à niveau vers au moins cette version est donc conseillée, mais idéalement, il convient de faire rapidement la mise à jour vers la version 2023.03.1 ou supérieure pour bénéficier du correctif complet. En effet, très réactive face à ce genre d’alerte, l’es équipes de Nabu Casa ont très rapidement publié une mise à jour corrective qui comble cette brèche de sécurité.

Comment vérifier votre version de Home Assistant ?

Pour vérifier quelle version de la domotique Home Assistant vous utilisez, rendez-vous dans Paramètres (1) puis À propos (2) et visualisez la version en cours (3). Sinon vous devriez aussi voir si une mise à jour est en attente sur votre système domotique (4) en partie haute.

Comment procéder à la mise à jour du système domotique ?

Pour procéder à la mise à jour de Home Assistant, exécutez simplement les mises à jour en attentes en partie haute de la fenêtre de paramètres (4). Bien que la version supervisée soit la seule affectée par cette faille, nous vous recommandons d’effectuer la mise à jour vers la dernière version même sur les autres versions.

Si vous ne pouvez pas mettre à niveau l’application Home Assistant Supervisor ou Home Assistant Core pour le moment, il est conseillé de ne pas exposer votre instance Home Assistant à Internet. Verrouillez alors l’accès à votre systeme domotique via votre routeur/box internet (redirection de port).

Domo-blog a fait le choix de ne pas polluer votre lecture avec de la publicité. Vous trouverez cependant des liens affiliés vers les produits recommandés dans le contenu. Cela ne perturbe en rien votre experience de lecture et permet de financer le blog.
Vous pouvez également soutenir le blog en m'offrant un café sur Ko-Fi.

A propos de cet auteur

Voir tout les articles

Aurélien Brunet

Chef de projet informatique, anciennement informaticien spécialisé dans l'IT industrielle, le réseau et les bases de données. Un peu geek à mes heures perdues, je me suis mis à la domotique en 2012 pour sécuriser mon domicile.
Depuis, je teste, j’installe, je code, j’améliore mon installation et surtout, je partage avec vous mon expertise via ce blog et mon podcast Domotique Chronique pour améliorer votre quotidien dans la maison connectée !