"L'auto-hébergement est une pratique consistant à héberger ses services réseau sur ses propres machines ou sur des serveurs dédiés virtuels."
Cette pratique s'oppose à l'utilisation de services d'hébergements chez un prestataire, qui est le modèle que nous utilisons le plus souvent au quotidien, et que nous imposent notamment les GAFAM.
L'auto-hébergement est une pratique encore courante dans la majorité des entreprises, et peut également intéresser les particuliers pour diverses raisons, surtout avec les possibilités qui nous sont offertes aujourd'hui. Il permet notamment d'avoir le contrôle et la responsabilité de ses propres données.
L'auto-hébergement offre donc la possibilité de trouver des alternatives à des applications comme Google Drive, Office365, Youtube ou de contribuer à l'agrandissement des réseaux sociaux décentralisés comme ceux du Fediverse, sans avoir à payer d'abonnement aux entreprises qui développent ces logiciels, que ce soit explicitement, ou avec nos données personnelles.
Par définition, si nous faisons attention aux services que nous installons sur notre serveur, nos données sont là où nous avons décidé qu'elles soient. Si vous cherchez une solution pour protéger vos données, mais que les services respectueux de votre vie privée coûtent trop cher, que vous n'aimez pas vraiment cette idée de payer un tel service, que vous ne voulez pas vraiment faire confiance à cette entreprise ou association, l'auto-hébergement est fait pour vous.
Plusieurs systèmes d'exploitation proposent de faciliter l'auto-hébergement d'applications :
Il est très important ici de faire un point sur la sécurité quand on héberge un service qui est accessible via Internet.
Il y a une différence fondamentale entre un ordinateur personnel (communément appelé "station de travail") et un serveur :
La box de votre FAI est configurée par défaut pour ne laisser passer aucune "connexion entrante", c'est-à-dire connexion qui viendrait d'Internet, pour faire des requêtes à un de vos appareils. Or, pour un serveur, nous allons devoir ouvrir des "ports" pour dire à la box que si quelqu'un fait une requête depuis Internet sur tel port de la box, il faudra la rediriger vers tel appareil/serveur spécifiquement (et tel port de cet appareil).
La sécurité de cet appareil n'est donc plus du tout assurée par la box, mais par l'appareil en lui-même, car la box redirige toutes les demandes vers cet appareil et ne fait rien d'autre.
Le problème, c'est que si un attaquant arrive à pénétrer sur cet appareil, il se retrouve sur notre réseau local, et pourrait commencer à s'introduire sur nos autres appareils personnels connectés à cette même box. De fait, tout dépend du niveau de sécurité que nous allons appliquer ! Il est donc très important de s'imposer certaines règles :
Les mots de passes doivent être très solides sur cette machine : le mieux serait un long mot de passe aléatoire, au moins pour tous les utilisateurs qui ont des droits administrateur. Car si les mots de passe des administrateurs sont retrouvés, nous accorderions beaucoup de droits à un attaquant. Nous vous invitons à lire l'article sur Keepass pour générer et retenir des mots de passe très complexes en toute sécurité et facilement.
Les mises à jour doivent être très régulières : en effet, si une faille vient à être découverte sur l'un des services que nous hébergeons, ou sur l'application d'hébergement, un attaquant verra très vite si notre système a été mis à jour ou s'il est vulnérable à cette faille. S'il est vulnérable, il lui faudra peu de temps pour prendre contrôle de votre appareil. Les mises à jour s'imposent donc. Sur des applications d'hébergement comme Yunohost, les mises à jour sont très faciles, n'hésitons pas à en abuser !
N'activons que les services nécessaires à votre serveur : Inutile d'activer des services dont nous ne nous servons jamais... Comme vous le savez, nous découvrons chaque jour des failles sur de nombreux services ou applications donc plus nous multiplions des services avec failles, plus nous augmentons le risque sur notre serveur et ses utilisateurs. Exemple : si nous n'utilisons pas Telnet, désactivons-le ! Si nous n'utiliserons jamais SSH, désactivons-le.
Il en va de même pour les ports réseau gérés sur ce serveur : via le pare-feu applicatif (firewalld, gufw, etc.), il nous est possible de contrôler finement les ports autorisés et non autorisés. Veillons à être rigoureux sur cet aspect.
Il s'agit là des 3 règles absolument incontournables.
Les conséquences seraient bien plus graves que pour un ordinateur personnel. Rappelons-nous que nous ne sommes peut-être pas seul à utiliser ces services que nous hébergeons, et que nous rendrions donc vulnérables les données de toutes ces personnes.
Nous avons rédigé deux tutoriels qui vous donneront les clés pour installer un serveur et héberger des solutions Cloud personnels :
Contributeur(s): Ayo, Esf, Nemtech
Il existe spécifiquement une image clé en main pour installer Nextcloud sur un RaspberryPi (NextcloudPi) ; cependant, cela limite le RPi à faire tourner Nextcloud (et ses extensions), et aucun autre service. ↩︎
Distribution GNU/Linux, disponible aussi bien sur serveur que pour ordinateurs personnels. Réputée pour sa stabilité et son niveau de sécurisation, elle est la distribution parente, dont sont issues Ubuntu et ses dérivés. C'est également le socle favori de nombreuses distributions orientées cyber sécurité ou vie privée. Pour plus de détails, aller sur le site officiel de Debian. Cet article traite également des différentes distributions Linux, dont Debian. ↩︎