On achète des modules connectés pour piloter sa maison depuis le canapé ou depuis l’autre bout du pays. En théorie, tout est plus simple. En pratique, une bonne moitié des solutions du marché ajoute un intermédiaire dont personne ne parle au moment de l’achat : le serveur du fabricant. C’est lui qui traduit la commande partie de votre téléphone vers le petit relais enfiché dans le tableau électrique. Lui qui décide si, ce soir, le volet roulant se ferme vraiment. Lui qui peut disparaître sans prévenir, emportant avec lui toute possibilité de gérer la maison à distance.
La gestion à distance ne date pas des objets connectés. Dans l’industrie et le bâtiment tertiaire, on envoie des ordres sur un bus ModBus ou KNX depuis trente ans sans que personne ne songe à dépendre d’un compte en ligne. Le grand public a hérité d’une promesse différente : celle d’une simplicité immédiate, souvent au prix d’un contrôle qui ne vous appartient plus.
Le cloud des fabricants est un point de défaillance unique
Quand vous ouvrez l’application de votre thermostat connecté à 200 km de chez vous, la requête ne va jamais directement au thermostat. Elle part vers un serveur hébergé quelque part chez Amazon Web Services ou Google Cloud, qui traduit l’ordre et le renvoie vers votre domicile. Ce serveur appartient au fabricant. Il coûte de l’argent à opérer, chaque mois. Si la boîte se fait racheter, arrête le produit, change de plateforme ou ferme purement et simplement, votre accès distant s’évapore. Pas de préavis, pas de recours.
Le scénario s’est déjà produit en France : un fabricant arrête son service, et les utilisateurs découvrent que leurs programmations chauffage ne répondent plus depuis l’extérieur.
Même quand le service reste ouvert, les pannes sont régulières. Une API qui renvoie une erreur 503 au moment où vous voulez couper une lumière restée allumée, c’est un délai de trente secondes, une app qui mouline, et au final un voisin qu’on dépanne. Le problème est structurel : le cloud introduit une latence de plusieurs centaines de millisecondes, parfois plus, parce que la commande traverse la moitié du continent avant de faire demi-tour. Dans une maison où tout est en local, un clic sur un interrupteur Zigbee déclenche l’action en 15 à 25 ms. Le cloud multiplie ce délai par dix ou vingt, sans apporter de valeur fonctionnelle.
Un VPN plutôt qu’un compte fabricant
Se passer de l’intermédiaire. Au lieu d’un serveur tiers qui garde la clé de votre réseau domestique, un chemin chiffré direct entre vos appareils et votre domicile. C’est WireGuard.
WireGuard a plusieurs avantages sur OpenVPN : code léger, configuration en quelques lignes, protocole UDP avec un handshake quasi instantané. Installé sur un petit boîtier chez vous (un Raspberry Pi, un mini-PC sous Debian, ou directement une box compatible), il offre une latence de contrôle autour de 3 à 5 ms en 4G ou en Wi-Fi. Votre application domotique (Home Assistant, Jeedom, Domoticz) dialogue directement avec le coordinateur Zigbee ou Z-Wave, sans intermédiaire.
Une fois le VPN établi, le téléphone se comporte comme s’il était sur le réseau local. Vous accédez à l’interface de supervision sur l’IP 192.168.1.x de la box, sans cloud, sans API tierce.
💡 Conseil : Si votre box opérateur ne supporte pas WireGuard nativement, un mini-PC d’occasion sous Linux fait office de point d’entrée pour moins de 100 euros. La consommation électrique de ce type de machine tourne autour de 5 watts en idle.
Le cas des protocoles locaux : Zigbee, Z-Wave, Matter
Le VPN ne résout que l’accès au réseau. Encore faut-il que les équipements de la maison continuent de fonctionner quand la connexion Internet tombe. Les protocoles radio comme Zigbee et Z-Wave sont nativement locaux. Un capteur de porte Aqara, un micromodule Fibaro derrière un interrupteur, une ampoule Philips Hue pilotée via un coordinateur Zigbee universel : tous dialoguent avec le coordinateur, pas avec un serveur. Même chose pour les récents équipements Matter, qui exigent une communication IP locale.
Si vous utilisez un hub propriétaire basique, le fabricant peut brider l’accès distant à sa guise. Mais si le coordinateur est géré par un logiciel libre que vous maîtrisez, la logique métier (scénarios, automatismes) reste exécutée en local. C’est là que le choix du hub prend tout son sens. Une installation pensée pour le local-first ne perd aucune fonction essentielle quand la fibre est coupée, et elle reste pilotable intégralement via le VPN dès que la connectivité mobile est rétablie.
Ce principe est encore plus vrai pour les modules encastrés dans le tableau électrique. Beaucoup d’entre eux communiquent encore en ModBus RTU ou TCP, un protocole série robuste qu’on retrouve dans la GTB et qui ne dépend d’aucun service externe. Une passerelle ModBus-IP reliée à votre contrôleur domotique et accessible via le VPN vous donne la main sur les circuits éclairage, volets ou chauffage depuis n’importe où, avec la même fiabilité qu’un automate industriel. C’est exactement la promesse que visaient les premières solutions de gestion à distance pour le bâtiment, avant que le cloud ne vienne ajouter une couche de dépendance inutile.
Une configuration qui tient en deux étapes
Pas besoin d’aligner des pages de lignes de commande. Sur un Raspberry Pi OS fraîchement installé, l’activation de WireGuard demande :
- L’installation du paquet via
apt install wireguard - La génération d’une paire de clés publique/privée
- La création d’une section
[Interface]avec l’IP du tunnel et le port d’écoute - L’ajout d’une section
[Peer]pour chaque appareil distant
Côté smartphone, l’application WireGuard importe le fichier de configuration via un QR code. Une fois le profil activé, le téléphone bascule automatiquement sur le tunnel quand il quitte le Wi-Fi domestique.
Un piège classique : le réseau de l’opérateur mobile attribue la même plage d’IP (192.168.1.x) que votre LAN domestique. Le conflit empêche le routage. Décaler le LAN sur 192.168.10.0/24 dans l’interface de la box règle l’affaire.
⚠️ Attention : Évitez d’ouvrir directement le port WireGuard sur votre box si vous n’êtes pas à l’aise avec les règles de pare-feu. Une alternative plus propre consiste à louer un VPS à 3 euros par mois qui servira de point de rencontre entre votre installation et vos appareils, sans exposer l’adresse IP de votre domicile.
La sécurité ne se limite pas au chiffrement
WireGuard chiffre tout le trafic avec des primitives modernes (Curve25519, ChaCha20). Le canal est solide ; la surface d’attaque restante, c’est le téléphone qui détient la clé privée, donc enclave sécurisée et pas de configuration répliquée à l’identique sur cinq appareils.
Pour qui ne veut pas administrer un VPN, Nabu Casa reste un compromis correct à 6,50 euros par mois. Service payant donc moins susceptible de fermer, chiffrement de bout en bout, latence un peu au-dessus d’un VPN direct mais sans commune mesure avec un cloud fabricant.
Questions fréquentes
Un VPN complique-t-il l’accès des autres membres de la famille ?
Oui, si chacun doit activer manuellement un profil WireGuard avant d’ouvrir l’app de domotique. Pour simplifier, on peut configurer le smartphone pour activer automatiquement le tunnel dès qu’il quitte le Wi-Fi de la maison. Une fois cette règle en place, la famille ne voit aucune différence avec l’application d’origine.
Quelle est la bande passante nécessaire pour piloter la domotique à distance ?
Négligeable. Les commandes (allumer/éteindre, monter/descendre un volet) pèsent quelques centaines d’octets. Même en itinérance sur un réseau cellulaire lent, la réactivité est immédiate. La bande passante ne devient pertinente que si vous consultez les flux vidéo de vos caméras via le même tunnel.
Peut-on se passer totalement d’Internet pour que le VPN fonctionne ?
Non, car le tunnel passe par une connexion réseau entre le domicile et le mobile. En revanche, une fois le VPN établi, les commandes ne transitent par aucun cloud tiers : elles circulent directement via l’infrastructure de l’opérateur, chiffrées, jusqu’à votre coordinateur local. La dépendance se limite au réseau, pas à un intermédiaire applicatif.
Votre recommandation sur gérer la domotique à distance sans cloud
Trois questions pour cibler la config / le produit fait pour votre usage.
