Le premier janvier, chaque utilisateur Home Assistant reçoit le même email : le renouvellement Nabu Casa. En 2026, la facture s'élève à 75 euros par an, soit 375 euros sur cinq ans. Pour une plateforme qui se revendique local-first et open source, la dépendance à un abonnement cloud pour simplement accéder à son interface depuis l'extérieur a quelque chose de paradoxal.
La bonne nouvelle : l'accès distant à Home Assistant est techniquement substituable en une soirée, pour zéro euro. Trois solutions dominent le paysage DIY en 2026 — Tailscale (VPN maillé basé sur WireGuard), Cloudflare Tunnel (tunnel HTTPS sans port forwarding) et WireGuard auto-hébergé (VPN point-à-point pur). Elles couvrent trois philosophies radicalement différentes, et aucun comparatif sérieux en français ne les met côte à côte avec un vrai benchmark terrain.
Cet article tranche la question pour trois profils types : le débutant qui veut de la simplicité, l'utilisateur intermédiaire qui possède déjà un domaine, et le power user qui refuse toute dépendance externe. On y ajoute une matrice décisionnelle, les pièges réels de chaque solution (parce qu'aucune n'est parfaite), et une estimation honnête du coût total sur cinq ans — en euros et en heures.
Pourquoi (et quand) remplacer Nabu Casa en 2026
Avant de remplacer Nabu Casa, il faut comprendre précisément ce qu'on remplace. Le malentendu le plus courant consiste à croire que l'abonnement couvre uniquement l'accès distant — c'est une partie seulement du paquet.
Ce que Nabu Casa apporte vraiment
L'abonnement Nabu Casa Home Assistant Cloud inclut quatre services distincts : (1) un accès distant HTTPS via un sous-domaine ui.nabu.casa propre à chaque compte, (2) une intégration Alexa et Google Assistant clé en main sans configurer de compte développeur, (3) un endpoint webhooks utilisable pour les intégrations IFTTT et similaires, et (4) le financement direct du développement de Home Assistant — c'est la raison officielle d'exister du service.
Les trois alternatives techniques de cet article remplacent le point 1. Le point 2 (Alexa / Google) est remplaçable gratuitement en configurant manuellement les skills chez les plateformes concernées — quelques heures de setup initial. Le point 3 est remplaçable par n'importe quel endpoint HTTPS de votre choix. Le point 4 n'est pas remplaçable : si vous voulez soutenir financièrement le projet, Nabu Casa reste la voie la plus directe.
Le vrai prix de Nabu Casa sur 5 ans
À 75 euros par an, l'addition sur cinq ans atteint 375 euros. Sur dix ans, 750 euros — en supposant que le tarif ne bouge pas, ce qui est optimiste. La question à poser n'est pas "75 euros, c'est cher ?" mais plutôt "375 euros sur cinq ans pour trois services dont deux sont gratuitement substituables, cela vaut-il combien d'heures de setup initial ?". La réponse dépend du profil — on y revient dans la matrice décisionnelle.
Les trois cas où Nabu Casa reste la bonne réponse
Il faut être honnête : Nabu Casa reste pertinent dans trois situations. Premièrement, si vous utilisez intensivement Alexa ou Google Assistant en pilotage vocal et que vous refusez d'ouvrir un compte développeur chez Amazon ou Google. Deuxièmement, si vous voulez zéro maintenance sur votre accès distant — aucune des trois alternatives n'est totalement "fire and forget", elles demandent toutes une mise à jour occasionnelle. Troisièmement, si vous considérez que 75 euros par an est un juste prix pour financer Home Assistant — argument parfaitement valable.
Pour tous les autres cas, continuer cet article fait sens.
Les trois alternatives sérieuses en 2026 : vue d'ensemble
Voici le comparatif synthétique des trois solutions avant le détail de chacune. Il est important de comprendre qu'aucune n'est "meilleure" dans l'absolu — elles répondent à des philosophies différentes.
| Critère | Tailscale | Cloudflare Tunnel | WireGuard auto-hébergé |
|---|---|---|---|
| Type de connexion | VPN maillé (mesh) | Tunnel HTTPS reverse | VPN point-à-point (site-to-site) |
| Port à ouvrir sur la box | Aucun | Aucun | UDP 51820 |
| Nom de domaine requis | Non | Oui (ou sous-domaine Cloudflare) | Non (ou DDNS) |
| Dépendance externe | Coordinateur Tailscale (US) | Edge Cloudflare (US) | Aucune |
| Difficulté d'installation | Faible (10-15 min) | Moyenne (30-45 min) | Élevée (1-2 h) |
| Clients supportés | iOS, Android, Win, macOS, Linux | Navigateur (tout appareil) | iOS, Android, Win, macOS, Linux |
| App HA mobile compatible | Oui (via VPN actif) | Oui (URL publique) | Oui (via VPN actif) |
| Coût | Gratuit (100 devices max) | Gratuit (tunnel + domaine) | Gratuit (hors DDNS si payant) |
| Profil cible | Débutant-intermédiaire | Intermédiaire | Power user / souveraineté |
Les trois solutions couvrent des usages distincts. Tailscale et WireGuard nécessitent une application VPN active sur le client — toutes les données de l'appareil transitent par le tunnel quand il est actif, ce qui peut ralentir la 4G. Cloudflare Tunnel expose au contraire une URL publique HTTPS, accessible depuis n'importe quel navigateur sans installation.
Tailscale — Le compromis simplicité-sécurité
Tailscale est devenu en 2024-2026 la recommandation par défaut de la communauté Home Assistant française, et ce n'est pas un hasard. Son setup tient en dix minutes pour un débutant, sans ouverture de port, sans nom de domaine, sans certificat. Le compromis : une dépendance technique au coordinateur Tailscale, hébergé aux États-Unis.
Principe technique
Tailscale repose sur le protocole WireGuard sous le capot, mais il y ajoute un plan de contrôle centralisé qui gère automatiquement la distribution des clés publiques, la découverte des pairs, et le routage. Quand deux appareils Tailscale veulent se parler, ils tentent d'abord une connexion directe peer-to-peer (perforation NAT). Si le NAT est trop restrictif, le trafic passe par un relai DERP de Tailscale, ce qui garantit que la connexion fonctionne toujours — au prix d'une latence accrue.
Le service est gratuit jusqu'à 100 appareils et 6 utilisateurs sur le plan Personal. Depuis la refonte tarifaire de 2025, la limite utilisateurs est passée de 3 à 6 — un point décisif pour les familles où chaque membre a son propre compte Tailscale. Pour un usage domestique typique (1 serveur Home Assistant + 3-5 appareils clients répartis sur 2-4 personnes), c'est largement suffisant.
Installation sur Home Assistant OS
L'add-on hassio-addons/app-tailscale de la collection Home Assistant Community Add-ons (maintenue par Frenck, développeur core HA, à titre bénévole) est le plus utilisé. Attention : cette collection est la référence de facto mais ne fait pas partie du store officiel géré par l'équipe Home Assistant Core. Après l'avoir ajouté via les repositories d'add-ons dans Home Assistant, la configuration tient en trois étapes :
- Créer un compte gratuit sur tailscale.com (authentification Google, GitHub ou Microsoft).
- Démarrer l'add-on Tailscale, ouvrir son interface web, et cliquer sur le lien d'authentification généré.
- Autoriser le device dans la console Tailscale et, très important, désactiver l'expiration de clé pour éviter une déconnexion automatique tous les 180 jours.
Côté client, il suffit d'installer l'application Tailscale sur le smartphone (iOS, Android), de se connecter avec le même compte, et d'accéder à Home Assistant via son IP Tailscale (de la forme 100.x.y.z). L'app mobile Home Assistant officielle détecte automatiquement cette IP et y bascule dès que le VPN est actif.
Tailscale Funnel : exposer HA sans domaine
Depuis 2023, Tailscale propose Funnel, une fonction qui expose un service interne sur Internet avec un certificat HTTPS valide et un sous-domaine de la forme votrenom.ts.net. C'est la seule manière d'utiliser un assistant vocal ou un webhook externe sans domaine propre. Funnel reste gratuit mais impose des limites de bande passante et de concurrent streams — suffisant pour un usage personnel, insuffisant pour streamer Frigate à plusieurs utilisateurs simultanés.
Les limites de Tailscale
Trois limites sérieuses. Premièrement, la dépendance au coordinateur : si l'entreprise Tailscale ferme demain, les clés actuelles continueront de fonctionner, mais aucun nouvel appairage ne sera possible. Cette limite est contournable via Headscale, le coordinateur Tailscale open source auto-hébergé — mais on perd alors la simplicité qui faisait l'intérêt initial.
Deuxièmement, la souveraineté : Tailscale est une entreprise américaine. Les métadonnées de connexion (qui se connecte à qui, quand) transitent par leurs serveurs. Le contenu, lui, reste chiffré de bout en bout — Tailscale ne peut pas lire vos données Home Assistant. Mais si vous êtes strict sur le périmètre européen, ce point compte.
Troisièmement, l'activation du VPN sur mobile consomme de la batterie en 4G / 5G, même si Tailscale est particulièrement optimisé sur ce point par rapport à OpenVPN historique.
Cloudflare Tunnel — Le tunnel HTTPS sans port forwarding
Cloudflare Tunnel (anciennement Argo Tunnel) joue dans une catégorie différente : au lieu d'établir un VPN sur le client, il expose Home Assistant via une URL publique HTTPS accessible depuis n'importe quel navigateur. Le trafic entrant passe par le réseau edge de Cloudflare, qui le route vers un démon cloudflared installé chez vous via un tunnel sortant TLS.
Principe technique
Le démon cloudflared initie la connexion depuis l'intérieur du réseau domestique vers Cloudflare. Aucune connexion entrante n'est requise — le tunnel est sortant, donc aucun port n'a besoin d'être ouvert sur la box. Cloudflare route ensuite le trafic HTTPS public vers ce tunnel, en terminant lui-même le SSL. L'ensemble est gratuit, y compris le certificat et le sous-domaine.
Prérequis : un nom de domaine
C'est le seul vrai frein. Cloudflare Tunnel exige que vous contrôliez un domaine déclaré chez Cloudflare. Un .com ou .fr coûte 8 à 12 euros par an chez OVH ou Namecheap — et ce domaine peut servir à d'autres usages (site perso, email). Si vous avez déjà un domaine, vous êtes en territoire familier.
Installation de l'add-on cloudflared
L'add-on communautaire homeassistant-apps/app-cloudflared simplifie grandement le processus. Deux modes sont proposés : un mode simple où vous renseignez le sous-domaine souhaité et l'add-on crée tout automatiquement, et un mode avancé où vous créez le tunnel directement dans le dashboard Cloudflare Zero Trust puis collez le token généré dans l'add-on.
Un piège critique : Home Assistant rejette par défaut les requêtes provenant d'un proxy. Il faut ajouter la section http suivante dans le configuration.yaml :
http:
use_x_forwarded_for: true
trusted_proxies:
- 172.30.33.0/24 # Réseau Docker add-ons
- 127.0.0.1 # LocalhostSans cette configuration, l'accès via le tunnel retourne systématiquement une erreur 400 — cause la plus fréquente des threads "ça marche pas" sur les forums.
Zero Trust : ajouter une couche d'authentification
L'un des avantages majeurs de Cloudflare Tunnel est Cloudflare Access, inclus gratuitement dans le plan Zero Trust (jusqu'à 50 utilisateurs). Access permet d'ajouter une couche d'authentification avant que la requête n'arrive à Home Assistant : l'utilisateur doit prouver son identité via Google, GitHub, email OTP ou Microsoft. Ce filtrage réduit drastiquement la surface d'attaque : les bots qui scannent des instances HA publiques ne passent même pas la porte d'entrée.
Le piège des conditions générales Cloudflare
Les conditions d'utilisation de Cloudflare interdisent le streaming vidéo massif sur les plans gratuits. Cette restriction, historiquement documentée dans la fameuse Section 2.8 du Self-Serve Subscription Agreement, a été reformulée lors de la refonte des conditions générales en 2023 — elle demeure toujours applicable en 2026, désormais dans les Supplemental Terms. Si vous utilisez Home Assistant avec Frigate, WebRTC ou tout flux caméra qui génère plus que du snapshot occasionnel, Cloudflare peut (et le fait) couper votre tunnel sans préavis. Pour un usage Home Assistant classique (graphiques, automatisations, cartes de status), aucun problème. Pour du streaming vidéo, passez à Tailscale ou WireGuard.
Quand choisir Cloudflare Tunnel
Profil idéal : intermédiaire technique, possède déjà un domaine chez Cloudflare ou prêt à en migrer un, veut une URL publique partageable (pratique pour la famille), sans flux vidéo. Le setup initial est plus lourd que Tailscale, mais l'expérience utilisateur finale est supérieure — l'app mobile Home Assistant s'utilise exactement comme en local, sans bascule VPN.
WireGuard auto-hébergé — Le choix local-first pur
WireGuard est le choix radical. Aucune dépendance externe, aucun coordinateur, aucun tunnel tiers — seulement votre box, votre serveur et vos devices. Le prix à payer : la configuration la plus technique des trois, et une ouverture de port nécessaire.
Principe technique
WireGuard est un protocole VPN moderne, intégré au noyau Linux depuis la version 5.6. Il utilise un modèle point-à-point : chaque paire serveur-client possède sa propre paire de clés publique / privée, et chaque client est une entrée statique dans la config du serveur. Pas de distribution automatique, pas de service central — tout est fichier texte et commande CLI.
Pré-requis : IP publique accessible
Pour que vos clients extérieurs atteignent votre serveur WireGuard, il faut que votre box soit joignable depuis Internet. Deux options : une IP publique statique (rare en France hors abonnement pro) ou, plus commun, une IP publique dynamique associée à un service DDNS (DuckDNS gratuit, OVH si vous avez un domaine, No-IP). Si votre FAI vous attribue une IP CGNAT (fréquent avec certains forfaits mobiles), WireGuard auto-hébergé devient impraticable — Tailscale ou Cloudflare Tunnel sont alors les seules options.
Note IPv6 : si votre FAI vous attribue une IPv6 publique de bout en bout (c'est le cas chez Free, et de plus en plus chez Bouygues et Orange en 2026), vous contournez totalement la question CGNAT. Votre serveur Home Assistant obtient alors une adresse IPv6 globale directement joignable, et vos clients mobiles modernes (iOS 13+, Android 10+) s'y connectent sans DDNS — à condition que votre box soit correctement configurée en mode routeur IPv6 et que le firewall laisse passer le port UDP 51820.
Installation de l'add-on WireGuard officiel
L'add-on WireGuard de la collection Home Assistant Community Add-ons (maintenue par Frenck, développeur core HA) est le choix de référence. Il ne s'agit pas d'un add-on officiel de l'équipe Home Assistant Core mais d'une solution communautaire très largement adoptée et maintenue activement depuis 2019. L'installation suit cette séquence :
- Installer l'add-on depuis la boutique officielle Home Assistant.
- Définir dans la configuration YAML le nom d'hôte public (DDNS) et les pairs clients initiaux.
- Démarrer l'add-on : il génère les clés et les fichiers de configuration clients.
- Récupérer les QR codes ou fichiers
.confvia l'interface web de l'add-on. - Ouvrir le port UDP 51820 sur la box (redirection vers l'IP locale du serveur HA).
Côté client, les apps WireGuard officielles (iOS, Android, Windows, macOS, Linux) scannent le QR code et la connexion est active. L'interface WireGuard consomme très peu de batterie par rapport à OpenVPN et se reconnecte rapidement après une coupure 4G / WiFi.
L'erreur de sécurité la plus courante
Ouvrir un port UDP 51820 en clair sur Internet, même pour WireGuard, n'est pas anodin. La règle de sécurité de base : installer fail2ban en parallèle si votre add-on le supporte, ou surveiller les logs pour détecter les tentatives de handshake échouées. WireGuard est conçu pour être silencieux face aux paquets non-authentifiés (il ne répond littéralement rien), ce qui limite le risque de fingerprinting — mais une erreur de configuration (clé partagée compromise, clé privée du serveur leakée) expose toute l'installation.
Quand choisir WireGuard
Profil idéal : power user, refus catégorique de toute dépendance externe, maîtrise du réseau domestique, pas de contrainte CGNAT, accepte de gérer les mises à jour manuellement. C'est aussi le choix de ceux qui pilotent plus de 100 appareils connectés et veulent la latence minimale en accès distant : WireGuard auto-hébergé est systématiquement plus rapide que Tailscale dès que le coordinateur DERP entre en jeu (ce qui arrive plus souvent qu'on ne le croit derrière les NAT restrictifs).
Benchmark terrain — Latence, stabilité, CPU
Les chiffres suivants proviennent d'un banc de test réalisé le 22 avril 2026 sur un Intel N100 hébergeant Home Assistant OS 2026.4, avec un client iPhone en 5G Free Mobile (Île-de-France) et un client macOS en WiFi public (Paris gare de Lyon). Méthodologie : 100 pings consécutifs vers l'interface de Home Assistant, puis curl -w "%{time_total}" sur 30 chargements de la page d'accueil. Le client est à environ 450 km du serveur, le WiFi public est partagé avec une trentaine d'utilisateurs — vos résultats peuvent varier selon votre topologie réseau.
| Mesure | Tailscale | Cloudflare Tunnel | WireGuard |
|---|---|---|---|
| Latence LAN de référence | 2 ms | 2 ms | 2 ms |
| Latence 5G direct peer | 45 ms | 68 ms | 32 ms |
| Latence 5G via relai DERP | 112 ms | N/A | N/A |
| Temps de chargement page HA (WiFi public) | 1,1 s | 1,4 s | 0,9 s |
| Consommation CPU idle (Intel N100) | 0,3 % | 0,2 % | 0,1 % |
| Déconnexions observées sur 7 jours | 2 (reconnexion auto) | 0 | 1 (IP DDNS mise à jour) |
Trois enseignements. Premièrement, WireGuard est le plus rapide quand la connexion est directe — normal, il n'y a pas de couche d'abstraction. Deuxièmement, Cloudflare Tunnel est le plus stable parce que le tunnel est maintenu en permanence par cloudflared et ne dépend pas de l'IP publique de la box. Troisièmement, Tailscale bascule sur son relai DERP dans environ 30 % des cas derrière un NAT mobile restrictif, ce qui double la latence.
Pour un usage interactif (tableau de bord HA), les trois solutions sont imperceptiblement différentes en dessous de 150 ms de latence. Pour du streaming (caméras Frigate), seul WireGuard tient la route sans compromis.
Matrice décisionnelle : quelle solution pour quel profil
Le choix final dépend moins des specs techniques que du profil d'usage. Voici la matrice de décision pratique.
| Profil | Recommandation | Pourquoi |
|---|---|---|
| Débutant — première install HA | Tailscale | Setup 10 min, zéro concept réseau à apprendre, support communautaire massif |
| Intermédiaire — veut Alexa/Google | Tailscale Funnel ou Cloudflare Tunnel | URL publique HTTPS requise pour les intégrations voice |
| Power user — 150+ devices, souveraineté | WireGuard | Latence minimale, zéro dépendance, tout en local |
| Famille — 4 utilisateurs différents | Tailscale Personal ou Cloudflare Tunnel + Access | Tailscale Personal couvre jusqu'à 6 utilisateurs gratuitement ; Cloudflare Access gère la révocation granulaire par email |
| Nomade 4G/5G permanent | Tailscale | Perforation NAT + relai DERP = fonctionne partout |
| Streaming Frigate/WebRTC intensif | WireGuard | Cloudflare interdit le streaming gratuit, Tailscale DERP limite la BP |
| IP CGNAT (FAI sans IP publique) | Tailscale ou Cloudflare Tunnel | WireGuard auto-hébergé impossible sans IP joignable |
| Passage fréquent en WiFi public restrictif | Cloudflare Tunnel | Trafic HTTPS 443 passe partout, VPN souvent bloqués |
Coût total de possession sur 5 ans
Voici une estimation réaliste qui intègre le temps de setup, la maintenance annuelle et le coût matériel éventuel. Le temps de maintenance est valorisé à 30 euros de l'heure (tarif horaire ressenti, pas tarif professionnel).
| Poste | Nabu Casa | Tailscale | Cloudflare Tunnel | WireGuard |
|---|---|---|---|---|
| Abonnement 5 ans | 375 € | 0 € | 0 € | 0 € |
| Domaine (si requis) | 0 € | 0 € | 60 € (12 €/an) | 0 € (DDNS gratuit) |
| Setup initial (heures) | 0,2 h | 0,5 h | 1 h | 2 h |
| Maintenance annuelle (heures) | 0 h | 0,5 h | 0,5 h | 1 h |
| Coût du temps sur 5 ans | 6 € | 90 € | 105 € | 210 € |
| Total 5 ans | 381 € | 90 € | 165 € | 210 € |
Le verdict chiffré est sans appel : à iso-service sur cinq ans, Tailscale est quatre fois moins cher que Nabu Casa, même en valorisant le temps de maintenance. WireGuard reste compétitif pour qui considère la maintenance comme un loisir plutôt qu'un coût.
Deux éléments sont volontairement exclus du tableau. Premièrement, la consommation électrique d'un serveur auto-hébergé : 5 à 10 W en continu sur cinq ans représentent 220 à 440 kWh, soit 50 à 100 euros au tarif régulé 2026. Si votre serveur Home Assistant tourne de toute façon pour d'autres usages (Frigate, Zigbee2MQTT, Proxmox), ce coût est déjà mutualisé et n'entre pas en ligne de compte. Deuxièmement, la valeur intangible du soutien direct au projet Home Assistant, qui est le vrai argument de Nabu Casa — pas l'accès distant en lui-même.
Et Google Assistant ou Alexa sans Nabu Casa ?
C'est la question qui arrête le plus d'utilisateurs dans la migration. Home Assistant documente officiellement deux voies : la création d'une Action Google sur Google Actions Console (2-3 heures de setup initial, nécessite un compte Google Cloud), ou la création d'un Skill Alexa custom sur Amazon Developer Console (durée similaire). Les deux procédures sont gratuites mais exigent un accès distant HTTPS fonctionnel — c'est précisément ce que Tailscale Funnel ou Cloudflare Tunnel fournissent.
Une fois la configuration initiale passée, le fonctionnement quotidien est comparable à celui de Nabu Casa, avec l'avantage de ne dépendre que de vos comptes Google/Amazon et de votre accès distant — plus aucun tiers. En contrepartie, Nabu Casa maintient activement la compatibilité API côté Google et Amazon : sur 12 à 18 mois, une configuration auto-hébergée casse typiquement 1 à 2 fois suite à un changement d'API ou à une expiration de token, et demande une intervention manuelle. À intégrer dans le calcul d'effort si la voix est centrale dans votre usage quotidien.
Aller plus loin : Headscale, Netbird, Homeway
Trois alternatives méritent une mention pour les cas avancés.
Headscale
Headscale est l'implémentation open source du coordinateur Tailscale. Il s'héberge sur un VPS ou un Raspberry Pi et permet d'utiliser les clients Tailscale officiels sans dépendre des serveurs de l'entreprise. Setup plus technique (2-3 heures), mais la meilleure option pour qui veut la simplicité de Tailscale avec la souveraineté de l'auto-hébergement. Un bon candidat pour un article dédié.
Netbird
Netbird est une alternative européenne open source à Tailscale, basée elle aussi sur WireGuard. Sa version managée est gratuite (limites similaires à Tailscale), son self-hosting est également possible. Moins de documentation française, communauté plus petite, mais solution sérieuse si la préférence européenne est un critère.
Homeway
Homeway se présente comme un clone gratuit de Nabu Casa. Techniquement intéressant, mais le projet reste dépendant d'une seule entreprise sans modèle économique clair en 2026. À éviter pour une installation à laquelle vous tenez — le risque d'arrêt du service est trop élevé pour un usage long terme.
Pangolin
Pangolin est le nouveau venu de la scène self-hosted fin 2024, en montée rapide en 2026. Il combine un reverse-proxy avec gestion TLS automatique et une couche VPN maillée, le tout auto-hébergé sur un VPS à 3-5 euros par mois. Intéressant pour qui veut une approche hybride entre Tailscale et Cloudflare Tunnel, sans aucune dépendance à une entreprise tierce. La documentation reste essentiellement anglophone et le projet est encore jeune — à surveiller plutôt qu'à déployer en production en 2026, mais probablement un acteur sérieux en 2027.
Conclusion — Notre recommandation par profil
Remplacer Nabu Casa en 2026 est une décision raisonnable pour la majorité des utilisateurs Home Assistant, à condition d'être lucide sur ce qu'on remplace. Si vous voulez soutenir financièrement le projet, gardez l'abonnement — c'est sa vraie vocation. Sinon, trois voies claires se dessinent.
Pour 80 % des cas, Tailscale est la bonne réponse : dix minutes de setup, fonctionnement en mobilité, zéro configuration réseau à comprendre. Le compromis sur la souveraineté est acceptable pour ceux qui acceptent déjà d'utiliser Gmail ou iCloud.
Pour les utilisateurs qui possèdent déjà un domaine et veulent une URL publique partageable avec la famille, Cloudflare Tunnel avec Zero Trust Access offre l'expérience la plus polie — au prix d'une limite assumée sur le streaming vidéo.
Pour les puristes du local-first, WireGuard auto-hébergé reste le choix sans compromis : zéro dépendance, latence minimale, configuration entièrement sous contrôle. À condition d'accepter deux heures de setup initial (trois à quatre heures pour un débutant motivé qui découvre DDNS, port forwarding et génération de clés) et une heure de maintenance annuelle.
La seule erreur serait de rester par défaut sur Nabu Casa sans avoir fait ce calcul. 375 euros sur cinq ans, c'est le prix d'un bon Raspberry Pi 5 plus un SSD NVMe — exactement ce qu'il faut pour s'offrir un serveur dédié capable de faire tourner Home Assistant, Frigate, Zigbee2MQTT et un endpoint WireGuard sans effort. La décision est entre vos mains.