Classement

Quand on installe Home Assistant chez soi, il ne faut pas longtemps avant de vouloir y accéder à distance. Que ce soit pour éteindre une lumière oubliée, désactiver une alarme ou simplement vérifier l’état d’un capteur, le contrôle à distance devient vite indispensable. 💡 Nouveau sur Home Assistant ? Avant de mettre en place un accès distant, découvre notre guide complet pour bien débuter avec Home Assistant. Tu y trouveras toutes les bases pour installer, configurer et comprendre ton environnement avant de passer aux choses sérieuses. Le souci ? Par défaut, Home Assistant n’est accessible que depuis le réseau local. Et pour sortir de cette limitation, la plupart des tutoriels proposent la vieille méthode : ouvrir le port 8123 sur sa box internet. Mauvaise idée. Ce genre de configuration expose à : des failles de sécurité, des attaques par force brute, et des galères de configuration avec le NAT ou les CGNAT (coucou Free). Il existe pourtant une solution simple, propre et ultra sécurisée : Tailscale. Ce service, basé sur WireGuard, permet de créer un VPN privé Zero Trust en quelques minutes. Résultat : on peut accéder à Home Assistant depuis l’extérieur, sans jamais exposer le système sur Internet et sans ouvrir le moindre port. Pas besoin d’être ingénieur réseau pour que ça fonctionne. L’installation se fait en quelques clics et c’est parfaitement compatible avec Home Assistant. Dans ce guide, je détaille pas à pas : la mise en place de Tailscale sur une installation Home Assistant, comment mettre en place un accès à Home Assistant depuis l’extérieur, et pourquoi cette méthode change radicalement la donne, à la fois sur le plan de la simplicité et de la sécurité. 1. Accéder à Home Assistant à distance : à quoi ça sert vraiment ?Home Assistant est pensé pour centraliser la maison connectée. Mais cette intelligence locale n’a de véritable intérêt que si on peut aussi garder la main lorsqu’on n’est pas chez soi. On ne parle pas ici de faire joujou avec ses lumières depuis le bureau. On parle d’usages concrets, utiles, parfois critiques : Recevoir une alerte d’ouverture de porte et vérifier aussitôt ce qu’il se passe. Couper le chauffage ou la clim resté allumé après un départ précipité. Déverrouiller un accès à distance pour un proche, un voisin ou un livreur. Relancer un scénario bloqué ou modifier une automatisation qui ne s’est pas déclenchée comme prévu. Suivre à distance la production solaire ou la consommation énergétique du foyer. Ces besoins sont courants dès qu’on commence à automatiser un minimum son logement. Et pourtant, l’accès à Home Assistant depuis l’extérieur n’est pas actif par défaut. C’est un choix de conception : mieux vaut ne rien exposer que mal exposer. Il existe bien une option officielle : le service Nabu Casa, proposé par les développeurs de Home Assistant. C’est simple à mettre en place, sécurisé, mais payant (7,50€ /mois). Pour celles et ceux qui préfèrent une alternative gratuite et tout aussi simple, il existe une autre voie : Tailscale. 2. Les solutions classiques d’accès à Home Assistant : limites techniques et risquesQuand on cherche à accéder à Home Assistant depuis l’extérieur, la première idée qui revient souvent, c’est d’ouvrir un port sur sa box internet, généralement le 8123. C’est rapide, plutôt simple à faire… mais clairement pas sans conséquences. Dès qu’un port est ouvert, l’interface web de Home Assistant devient accessible publiquement. Même protégée par mot de passe ou double authentification, elle est exposée en permanence à tout ce que compte Internet de robots, de scans automatiques et de tentatives de brute force. Et ce n’est que le début. La configuration peut vite devenir plus complexe que prévu : Certaines box opérateurs limitent ou bloquent la redirection de ports. Les utilisateurs en 4G/5G ou chez des FAI comme Free peuvent être derrière un CGNAT, ce qui rend l’accès direct tout simplement impossible. Pour sécuriser l’ensemble, il faut en général installer un certificat SSL, configurer un reverse proxy comme NGINX, gérer un DNS dynamique type DuckDNS… Certains contournent le problème avec Cloudflared, en créant un tunnel sécurisé via l’infrastructure de Cloudflare. C’est pratique, pas besoin d’ouvrir de port, et la configuration est assez simple. Mais cela implique de passer par un service centralisé qui joue le rôle d’intermédiaire. Pour un accès sensible comme celui de Home Assistant, ça peut en refroidir certains. Il faut rester cohérent : Tailscale est aussi un service tiers. Mais le fonctionnement est très différent. Le réseau créé est privé, chiffré de bout en bout, et surtout aucune interface n’est exposée publiquement. Ce n’est pas un proxy d’accès : c’est une extension chiffrée de ton réseau local, entre appareils de confiance. Au final, toutes ces méthodes fonctionnent mais elles demandent un certain niveau technique, un peu de maintenance, et surtout une vigilance constante. Une erreur de configuration ou une faille dans un service externe peut suffire à tout compromettre. C’est ce qui m’a poussé à chercher une solution à la fois simple, sécurisée et conçue dès le départ pour éviter ce genre de risques. 3. Tailscale : un accès distant à Home Assistant sans exposition, sans complicationPour éviter les ouvertures de port ou les tunnels exposés, une solution moderne s’impose : Tailscale. Son principe est simple : créer un réseau privé sécurisé entre les appareils autorisés, sans jamais exposer Home Assistant sur Internet. Basé sur le protocole WireGuard, Tailscale apporte une sécurité éprouvée, tout en restant d’une simplicité bluffante à mettre en place. Pas besoin de manipuler des fichiers de configuration ou de gérer des certificats : chaque appareil est identifié via un compte et rattaché automatiquement au réseau privé. Une fois installé sur Home Assistant et sur les appareils de contrôle (smartphone, ordinateur), l’accès devient instantané : l’interface reste locale, mais elle est consultable depuis n’importe où, comme si l’on était chez soi, sans port ouvert, sans DNS public, sans proxy exposé. Rien n’est visible sur Internet. Tout passe par un tunnel chiffré de bout en bout, avec une authentification forte à chaque connexion. Et si une liaison directe n’est pas possible (à cause du CGNAT, par exemple), Tailscale utilise ses propres relais, toujours chiffrés, sans jamais exposer l’interface. Ce fonctionnement repose entièrement sur un modèle Zero Trust. Autrement dit : aucun appareil n’est autorisé par défaut, même à l’intérieur du réseau. Chaque accès doit être validé, authentifié, chiffré, contrôlé. Ce n’est pas juste une couche de sécurité, c’est une philosophie. Et c’est précisément ce qui fait toute la différence. Là où d’autres solutions ouvrent des portes ou s’appuient sur un serveur intermédiaire, Tailscale établit une relation directe, privée, et parfaitement cloisonnée entre les seuls appareils autorisés. Pas de scan possible, pas d’exposition inutile, pas de mauvaise surprise. Voici un tableau comparatif des principales méthodes d’accès à Home Assistant depuis l’extérieur : Solution Exposition sur Internet Ouverture de port Sécurité Facilité de mise en place Coût Remarques Port 8123 + DuckDNS Oui (interface publique) Oui Faible à moyenne Moyenne à complexe Gratuit Maintenance manuelle, sensible aux erreurs Cloudflared Oui (via Cloudflare) Non Bonne Simple Gratuit Proxy externe, dépendant d’un service tiers Nabu Casa Oui (via leur cloud) Non Très bonne Très simple Payant (5 $/mois) Solution officielle, plug and play Tailscale Non Non Excellente (Zero Trust) Simple Gratuit (usage perso) Aucun service exposé, fonctionnement en réseau privé 4. Installer Tailscale sur Home AssistantAvant de pouvoir accéder à Home Assistant depuis l’extérieur, il faut commencer par installer Tailscale sur l’instance elle-même. Bonne nouvelle : l’add-on est directement intégré à Home Assistant OS, dans les modules complémentaires de la communauté. Pas besoin d’ajouter de dépôt manuellement. Il faut simplement disposer d’une instance Home Assistant OS à jour, d’une connexion internet, et d’un compte Tailscale. La création est gratuite, rapide et se fait via une authentification avec un compte existant : Google, Microsoft, GitHub ou autre. Ce choix n’est pas anodin : Tailscale s’appuie sur ces fournisseurs pour garantir une authentification forte et simple à gérer, sans mot de passe spécifique à retenir ni configuration complexe à maintenir. Une fois le compte Tailscale créé, on peut passer à l’installation du module côté Home Assistant. Il suffit d’ouvrir Paramètres > Modules complémentaires > Boutique des modules complémentaires, puis de faire défiler jusqu’à la section Home Assistant Community Add-ons et y trouver Tailscale. On peut aussi simplement taper “Tailscale” dans la barre de recherche pour y accéder directement. Une fois sur la page du module, l’installation se fait en un clic en cliquant sur "Installer". Avant de lancer le module, je recommande de cocher les options “Lancer au démarrage” et “Chien de garde” afin que Tailscale redémarre automatiquement en cas de coupure. Puis on peut démarrer le module. Il faut ensuite se rendre dans l’onglet Journal de l’add-on et patienter quelques secondes, le temps que Tailscale démarre correctement. Quand tout est prêt, une ligne apparaît avec une URL d’authentification du type : 2025/07/25 22:22:42 control: AuthURL is https://login.tailscale.com/a/xxxxxxxxxxxxxxxx ou encore To authenticate, visit: https://login.tailscale.com/a/xxxxxxxxxxxxxx Il suffit de copier ce lien dans un navigateur, puis de se connecter avec le compte Tailscale utilisé lors de la création en cliquant sur "Connect". Une fois l’authentification validée, Home Assistant est automatiquement intégré au réseau privé Tailscale. 5. Ajouter ses appareils au réseau TailscaleUne fois Home Assistant intégré au réseau privé Tailscale, il reste à y connecter les appareils qui permettront d’y accéder à distance : smartphone, ordinateur, tablette… n’importe quel appareil compatible. L’installation de Tailscale est simple. Il suffit de se rendre sur tailscale.com/download, puis de télécharger l’application adaptée à son système (Windows, macOS, Linux, Android, iOS). Après installation, on ouvre l’application et on se connecte avec le même compte utilisé pour enregistrer Home Assistant. Cela permet à l’appareil d’intégrer automatiquement le même réseau privé. Dès que l’appareil est ajouté, il rejoint automatiquement le réseau privé. On peut alors accéder à Home Assistant depuis n’importe où : en 4G, sur un Wi-Fi public, depuis le travail, ou même à l’étranger. Aucune configuration réseau n’est nécessaire. Pas de VPN complexe à lancer, pas de port à ouvrir, pas de DNS à gérer. Le système reconnaît les appareils entre eux, et permet une communication directe, sécurisée, comme s’ils étaient tous connectés au même Wi-Fi domestique. 6. Accéder à Home Assistant depuis l’extérieur via TailscaleUne fois les appareils connectés au réseau privé Tailscale, l’accès à Home Assistant se fait exactement comme si l’on était sur le Wi-Fi de la maison. Depuis l’application Tailscale ou le tableau de bord web (login.tailscale.com), on peut consulter la liste des appareils du réseau. L’instance Home Assistant y apparaît avec une adresse IP privée, généralement au format 100.x.x.x. Il suffit d’ouvrir un navigateur sur l’appareil connecté (smartphone, PC, tablette…) et de saisir cette adresse, suivie du port 8123. Par exemple : http://100.123.45.67:8123 L’interface de Home Assistant s’ouvre alors instantanément. Aucune redirection de port, aucun proxy, aucun tunnel à activer manuellement. On est directement sur l’interface locale, mais depuis n’importe où. Pour éviter de retaper cette URL à chaque fois, on peut : l’ajouter en favori dans son navigateur, créer un raccourci sur l’écran d’accueil (sur mobile), ou la saisir, une seule fois, dans l’app mobile officielle Home Assistant Companion, dans les paramètres avancés. 7. Bonus : utiliser MagicDNS pour un accès plus simple