Table des matières
Contexte
Quelques mois après avoir déployé mon premier VPS, tout tournait comme sur des roulettes.
J’y avais installé N8N pour automatiser mes tâches, et quelques scripts et logiciels pratiques tournaient en permanence :
🔎 OCR d’images (extraire du texte)
🔁 Conversion de fichiers LibreOffice ↔️ Excel
📥 Téléchargement et extraction audio/sous-titres de vidéos YouTube
NB : Je te montrerai peut-être un jour comment les mettre en place toi-même sur ton VPS.
Je contrôlais à distance ce petit hub numérique, et j’étais ravi de ma productivité boostée.
Mais cette euphorie n’a pas duré…
Événement déclencheur
Un jour, j’essaie d’installer un nouveau service.
Je ne m’étais pas connecté en SSH depuis longtemps – tout fonctionnait. Mais là… la connexion était atrocement lente.
Je vérifie la RAM : 99% utilisée.
Ma première hypothèse : j’ai trop d’outils lancés.
Mais en auditant les processus (merci ChatGPT pour les tips), je découvre que ce n’est pas moi le problème… mais des connexions externes.
Je liste les IPs connectées au VPS : des adresses russes, chinoises, brésiliennes.
Et pas seulement des tentatives : des connexions réussies.
Je flippe. Peut-être une fausse alerte liée à mes propres automatisations ? Mais non. En creusant un peu, la vérité éclate : mon VPS a été compromis.
Une faille dans ma maison numérique
Mon erreur ? Avoir laissé des API ouvertes sans mot de passe, créées à la va-vite avec ChatGPT.
Ces API servaient à interagir avec mes services à distance… mais exposaient directement des ports sans sécurité.
Un vrai boulevard pour n’importe quel bot ou hacker en quête de serveurs vulnérables.
Et une fois à l’intérieur ?
👉 Ils ont peut-être miné des cryptos.
👉 Peut-être redirigé du trafic louche pour brouiller leur trace.
👉 Et en cas d’enquête… mon IP serait celle sur laquelle toutes les suspicions retomberaient.
Place aux travaux
J’ai wipe le serveur. Réinstallation complète.
Heureusement, mes workflows N8n étaient sauvegardés.
J’ai tout perdu sauf l’essentiel… mais je ne voulais pas que ça recommence. Le but de l'automatisation, c’est de gagner du temps, pas d’en perdre en maintenance.
Je suis reparti sur une structure plus solide, en répartissant les rôles sur deux VPS.
Ce que j’ai appris
Un VPS, ce n’est pas un hébergement classique.
C’est comme une cabane en forêt. Si tu ne sécurises pas ta porte, n'importe qui entre.
Et même si tu verrouilles la porte, il reste les fenêtres.
Bref, il faut vraiment sécuriser ton endroit.
Voici désormais les fondamentaux que j’applique systématiquement. Je les détaillerai techniquement dans les prochains articles :
🔐 Clé SSH uniquement (plus de mot de passe)
🚫 Désactivation du login root
🧱 Firewall UFW : seuls les ports nécessaires sont ouverts
🥊 fail2ban : détection et bannissement des bots agressifs
🕳 VPN WireGuard : mon port SSH est invisible d’internet
Et surtout : plus jamais d’API sans authentification.
Comment j'ai blindé ma cabane numérique (sans perdre la clé)
Cet article avait pour but de te faire prendre conscience de l’importance de la sécurité.
Le suivant sera plus technique. Mais voici quelques clés pour comprendre ce que j’ai mis en place :
🔐 Clé SSH privée
C’est une clé générée localement sur ton ordi. Tu l’ajoutes sur le serveur, et elle te permet de t’authentifier sans mot de passe.
C’est un peu comme un mot de passe super long, qui garantit une meilleure sécurité.
Ça diminue les risques de brute force parce que j’empêche toute connexion par mot de passe.
Du coup, si des hackers veulent rentrer en essayant de deviner des mots de passe au hasard, ils sont obligés de tester par clé SSH — ce qui nécessite d’avoir le bon utilisateur et une clé privée ultra spécifique.
Trop long, trop coûteux. Ils passent leur chemin.
Conseil : stocke-la avec tes autres identifiants dans un gestionnaire de mot de passe comme KeePassXC. J’en ferai sûrement un article un jour.
👤 Changer le user root
Brute-forcer signifie essayer automatiquement des milliers de mots de passe jusqu’à tomber sur le bon.
Et “root” est l’utilisateur par défaut sur tous les serveurs Linux, donc cible prioritaire.
Créer un utilisateur personnalisé et désactiver l’accès root bloque 90 % des attaques automatisées.
🧱 UFW – le firewall simplifié
UFW (Uncomplicated Firewall) te permet de bloquer tout, sauf ce que tu autorises explicitement.
Imagine ton VPS comme une cabane en pleine forêt : il y a une porte d’entrée, des fenêtres, un Vélux, peut-être même une trappe cachée sous le plancher… Chaque ouverture, c’est un port.
Sans pare-feu, toutes ces entrées sont fermées à clé (avec un mot de passe), mais pas barricadées.
Un intrus un peu motivé peut encore tenter de forcer les serrures.
Configurer UFW, c’est comme clouer des planches sur toutes les issues, interdire l’accès même avec la bonne clé, et ne garder qu’une petite porte bien planquée, que toi seul connais.
Et si tu laisses le port 22 ouvert (le port SSH par défaut) ?
C’est comme garder ta porte d’entrée simplement verrouillée.
Elle est facile à trouver, et c’est l'endroit qu’un cambrioleur va cibler en premier.
Les hackers ne savent pas où sont tes fenêtres… mais ils savent exactement où est la porte d’entrée.
🕳 WireGuard – un VPN personnel
Maintenant, même si tu as barricadé toutes les entrées sauf une, cette petite porte restante peut encore être découverte par quelqu’un qui fouille bien.
Et c’est là qu’intervient un VPN comme WireGuard.
L’idée, c’est de faire disparaître la porte : tu la remplaces par un tunnel secret, creusé sous terre.
Pour entrer dans ta cabane, il faut d’abord rentrer dans ta maison principale (ton ordi personnel), y trouver l’entrée du tunnel… et seulement ensuite, tu peux remonter jusqu’à la cabane.
C’est exactement ce que fait WireGuard : je m’y connecte depuis mon Mac, et il me donne un accès privé en SSH, invisible depuis l’extérieur, à mon VPS.
Pour les autres ? Le serveur est tout simplement invisible.
🥊 fail2ban
Il scrute les tentatives de connexion infructueuses et bannit automatiquement les IP agressives.
S’il voit qu’un type insiste trop pour forcer la serrure, il le blacklist.
Encore une défense contre les attaques par brute force.
Lié à la quête
Cet article fait partie de la Quête 1 : Déployer et sécuriser son premier VPS (Le Bastion numérique)
🎯 Objectif : Posséder un VPS fonctionnel, sécurisé, accessible uniquement via un tunnel chiffré (WireGuard)
👉 Prochain article : Sécuriser son VPS, la partie technique.