Bonjour,
j'ai aussi noté une sérieuse recrudescence (explosion ?) des tentatives de connexions pirates à mes différents appareils connectés au Web, que ce soit des modems ADSL-fibre-4G, des serveurs de pages Web, VNC ou encore des connexions M2M ("Machine to Machine")
91.238.103.104 IP Address Details - IPinfo.io.pdf
Il y a quelques années c'était vraiment tranquille et un simple mot de passe VNC suffisait, aujourd'hui c'est fini, et j'ai déjà proposé quelques solutions
ici
Je ne sais aussi comment marche le déconnexion automatique vnc activé
Il faut contacter l'auteur de votre application, sur les HMI Crouzet (Weintec) la temporisation avant déconnexion automatique est paramétrable de 0 à 255 minutes dans le logiciel de développement
Je vais changer le mdp
Tout à fait, sur les écrans ci-dessus on peut utiliser un mot de passe VNC allant jusqu'à 8 chiffres, et je crois qu'après 3 mauvais mots de passe consécutifs l'écran se bloque 10 minutes (?), donc scan total en (99999999 / 3) * 10 minutes soit un peu plus d'un an .. (en fait moins, sauf si le pirate n'a vraiment pas de chance dans la vie ..). L'inconvénient d'un mot de passe long est que le pirate besogneux (ou plutôt son robot) va tester successivement tous les mots de passe, et donc bloquer en permanence l'accès VNC (car l'écran se verrouille)
j ai mis 2 lignes de codes dans une macro de déconnecter et reconnecter vnc toutes les 2h
C'est une possibilité, mais je trouve préférable de laisser l'accès VNC libre vers un simple écran d'informations (niveaux, puissance, ..), avec un MDP simple ou même sans, et de protéger l'accès à la page de réglages par un mot de passe qui lui peut être sérieux (cette fois ci au niveau HMI et non plus VNC), mais facile à retenir, du genre "ceciestunP*deMDPetjesouhaitebeaucoupdechanceauxpirates"
Encore mieux, l'accès à la page de réglages peut aussi se faire sans texte (la liaison n'étant pas cryptée) via un ou plusieurs boutons cachés, par exemple il faut cliquer pendant 10 s d'affilée sur tel endroit de l'écran pour faire apparaître le menu réglages, ou la demande de MDP pour accéder à ce menu..
Autre solution, chez un client j'avais utilisé un MDP simple pour l'accès VNC (4 chiffres), la page d'accès donnait les informations essentielles, et affichait un clavier virtuel : il fallait cliquer sur les touches pour entrer les 6 chiffres du MDP HMI donnant accès aux réglages .. Donc pas de transmission de texte, ça peut aussi se pirater mais ça demande un peu plus de temps et de savoir faire ..
Il y a quantités de solutions, on peut même imaginer une double identification avec envoi d'un SMS (comme pour les accès bancaires), certains modems permettent aussi des commandes par SMS, par exemple un SMS pour ouvrir tel port, puis accès VNC, puis un SMS pour fermer le port ...
L'équilibre à trouver est d'empêcher les accès non voulus, tout en facilitant les accès légitimes ..
Savez vous si je peux aussi modifier le port 5900 côté écran?
A ma connaissance ce n'est pas possible pour les écrans ci-dessus, mais il est facile de contourner cela en définissant une table de routage [appelée aussi "redirection de ports" ou NAT (Netware Address Translation)] dans le modem-routeur, exemple ci-dessous (évidemment, comme c'est mon installation j'ai masqué aussi bien les N° de ports externes (WAN) qu'internes (LAN) ainsi que les adresses IP ..):
2025-04-12_150546.jpg
Il y a environ 65 000 ports disponibles, donc on a le choix ... C'est plus facile à paramétrer sur certains modems (exemple les Livebox récentes, les modems Cudy, etc..) que sur d'autres (modems Teltonika RUTxx , etc..)
tableau-ports-connexion.png
Exemple : votre écran est à l'adresse Web
http://111.222.333.444 et vous utilisez actuellement le port VNC par défaut (5900), vous définissez dans votre modem une redirection de port vers le HMI, par exemple du port externe (WAN) 12345 vers le port interne (LAN) 5900, puis vous modifiez l'adresse d'accès VNC dans votre téléphone ou autre : 111.222.333.444 devient 111.222.333.444:12345
Bon W.E.
dB-)