Quand on auto-h\u00e9berge une stack open source \u2014 base de donn\u00e9es, reverse proxy, SSO, CI\/CD \u2014 on accumule rapidement des dizaines de secrets : mots de passe, cl\u00e9s API, tokens OAuth, certificats TLS. Les stocker en clair dans des fichiers Dans une infrastructure typique auto-h\u00e9berg\u00e9e, on retrouve des credentials \u00e0 chaque couche : le mot de passe PostgreSQL dans un Les cons\u00e9quences sont connues : fuites accidentelles, difficult\u00e9 \u00e0 effectuer une rotation de credentials, impossibilit\u00e9 de savoir qui a acc\u00e9d\u00e9 \u00e0 quel secret et quand. Pour une infrastructure en production, m\u00eame modeste, c’est un angle mort de s\u00e9curit\u00e9 qu’il faut adresser.<\/p>\n\n\n\n SOPS<\/strong> (Secrets OPerationS), d\u00e9velopp\u00e9 par Mozilla puis maintenu par la CNCF, permet de chiffrer des fichiers YAML, JSON ou .env tout en gardant les cl\u00e9s lisibles. Seules les valeurs sont chiffr\u00e9es. Cela signifie qu’on peut versionner les fichiers de secrets dans Git en toute s\u00e9curit\u00e9 : le diff reste lisible (on voit quelles cl\u00e9s ont chang\u00e9), mais les valeurs restent prot\u00e9g\u00e9es.<\/p>\n\n\n\n SOPS supporte plusieurs backends de chiffrement : age<\/strong> (simple, moderne, sans d\u00e9pendance externe), PGP<\/strong>, ou des KMS cloud (AWS KMS, GCP KMS, Azure Key Vault). Pour une infrastructure auto-h\u00e9berg\u00e9e, le couple SOPS + age est le plus adapt\u00e9 : l\u00e9ger, sans service tiers, et facile \u00e0 int\u00e9grer dans un pipeline CI\/CD.<\/p>\n\n\n\n Un workflow typique avec SOPS :<\/p>\n\n\n\n Pour les infrastructures plus complexes ou les \u00e9quipes de plusieurs personnes, HashiCorp Vault<\/strong> apporte un niveau suppl\u00e9mentaire. Vault est un serveur d\u00e9di\u00e9 \u00e0 la gestion des secrets : il stocke, g\u00e9n\u00e8re, r\u00e9voque et audite l’acc\u00e8s aux credentials de mani\u00e8re centralis\u00e9e.<\/p>\n\n\n\n Les avantages cl\u00e9s de Vault pour une infrastructure auto-h\u00e9berg\u00e9e :<\/p>\n\n\n\n Vault peut \u00eatre d\u00e9ploy\u00e9 en conteneur Docker et s’int\u00e8gre nativement avec Kubernetes, Ansible, et la plupart des outils d’infrastructure. Pour un d\u00e9marrage simple, le backend de stockage fichier suffit ; pour la production, un backend Consul ou Raft est recommand\u00e9.<\/p>\n\n\n\n Le choix entre SOPS et Vault n’est pas binaire. Les deux outils r\u00e9pondent \u00e0 des besoins diff\u00e9rents et peuvent coexister :<\/p>\n\n\n\n Quel que soit l’outil choisi, certaines pratiques sont universelles pour la gestion des secrets :<\/p>\n\n\n\n Si vous utilisez d\u00e9j\u00e0 Ansible pour la gestion de votre infrastructure, Ansible Vault<\/strong> (\u00e0 ne pas confondre avec HashiCorp Vault) offre un chiffrement int\u00e9gr\u00e9 des variables sensibles dans les playbooks. C’est une solution pragmatique pour les petites infrastructures d\u00e9j\u00e0 outill\u00e9es avec Ansible.<\/p>\n\n\n\n Dans un pipeline CI\/CD (Gitea Actions, par exemple), les secrets peuvent \u00eatre inject\u00e9s via les variables de repository chiffr\u00e9es, puis d\u00e9chiffr\u00e9s \u00e0 la vol\u00e9e pendant le d\u00e9ploiement via SOPS ou r\u00e9cup\u00e9r\u00e9s depuis Vault via son API HTTP. L’important est que les secrets ne transitent jamais en clair dans les logs du pipeline \u2014 pensez \u00e0 masquer les sorties sensibles.<\/p>\n\n\n\n La gestion des secrets est souvent le maillon faible d’une infrastructure auto-h\u00e9berg\u00e9e. Pourtant, les outils open source disponibles \u2014 SOPS, age, HashiCorp Vault, Ansible Vault \u2014 sont matures et bien document\u00e9s. L’investissement initial est modeste compar\u00e9 au risque d’une fuite de credentials. Commencez par SOPS + age pour versionner vos secrets existants, puis \u00e9valuez Vault si votre infrastructure ou votre \u00e9quipe grandit. Le plus important est de ne jamais laisser un secret en clair dans un d\u00e9p\u00f4t ou un fichier de configuration non prot\u00e9g\u00e9.<\/p>","protected":false},"excerpt":{"rendered":" G\u00e9rer les secrets et credentials dans une infrastructure auto-h\u00e9berg\u00e9e : Vault, SOPS et bonnes pratiques Quand on auto-h\u00e9berge une stack open source \u2014 base de donn\u00e9es, reverse proxy, SSO, CI\/CD \u2014 on accumule rapidement des dizaines de secrets : mots de passe, cl\u00e9s API, tokens OAuth, certificats TLS. Les stocker en clair dans des fichiers .env ou […]<\/p>\n","protected":false},"author":1,"featured_media":2108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ocean_post_layout":"","ocean_both_sidebars_style":"","ocean_both_sidebars_content_width":0,"ocean_both_sidebars_sidebars_width":0,"ocean_sidebar":"","ocean_second_sidebar":"","ocean_disable_margins":"enable","ocean_add_body_class":"","ocean_shortcode_before_top_bar":"","ocean_shortcode_after_top_bar":"","ocean_shortcode_before_header":"","ocean_shortcode_after_header":"","ocean_has_shortcode":"","ocean_shortcode_after_title":"","ocean_shortcode_before_footer_widgets":"","ocean_shortcode_after_footer_widgets":"","ocean_shortcode_before_footer_bottom":"","ocean_shortcode_after_footer_bottom":"","ocean_display_top_bar":"default","ocean_display_header":"default","ocean_header_style":"","ocean_center_header_left_menu":"","ocean_custom_header_template":"","ocean_custom_logo":0,"ocean_custom_retina_logo":0,"ocean_custom_logo_max_width":0,"ocean_custom_logo_tablet_max_width":0,"ocean_custom_logo_mobile_max_width":0,"ocean_custom_logo_max_height":0,"ocean_custom_logo_tablet_max_height":0,"ocean_custom_logo_mobile_max_height":0,"ocean_header_custom_menu":"","ocean_menu_typo_font_family":"","ocean_menu_typo_font_subset":"","ocean_menu_typo_font_size":0,"ocean_menu_typo_font_size_tablet":0,"ocean_menu_typo_font_size_mobile":0,"ocean_menu_typo_font_size_unit":"px","ocean_menu_typo_font_weight":"","ocean_menu_typo_font_weight_tablet":"","ocean_menu_typo_font_weight_mobile":"","ocean_menu_typo_transform":"","ocean_menu_typo_transform_tablet":"","ocean_menu_typo_transform_mobile":"","ocean_menu_typo_line_height":0,"ocean_menu_typo_line_height_tablet":0,"ocean_menu_typo_line_height_mobile":0,"ocean_menu_typo_line_height_unit":"","ocean_menu_typo_spacing":0,"ocean_menu_typo_spacing_tablet":0,"ocean_menu_typo_spacing_mobile":0,"ocean_menu_typo_spacing_unit":"","ocean_menu_link_color":"","ocean_menu_link_color_hover":"","ocean_menu_link_color_active":"","ocean_menu_link_background":"","ocean_menu_link_hover_background":"","ocean_menu_link_active_background":"","ocean_menu_social_links_bg":"","ocean_menu_social_hover_links_bg":"","ocean_menu_social_links_color":"","ocean_menu_social_hover_links_color":"","ocean_disable_title":"default","ocean_disable_heading":"default","ocean_post_title":"","ocean_post_subheading":"","ocean_post_title_style":"","ocean_post_title_background_color":"","ocean_post_title_background":0,"ocean_post_title_bg_image_position":"","ocean_post_title_bg_image_attachment":"","ocean_post_title_bg_image_repeat":"","ocean_post_title_bg_image_size":"","ocean_post_title_height":0,"ocean_post_title_bg_overlay":0.5,"ocean_post_title_bg_overlay_color":"","ocean_disable_breadcrumbs":"default","ocean_breadcrumbs_color":"","ocean_breadcrumbs_separator_color":"","ocean_breadcrumbs_links_color":"","ocean_breadcrumbs_links_hover_color":"","ocean_display_footer_widgets":"default","ocean_display_footer_bottom":"default","ocean_custom_footer_template":"","osh_disable_topbar_sticky":"default","osh_disable_header_sticky":"default","osh_sticky_header_style":"default","osh_sticky_header_effect":"","osh_custom_sticky_logo":0,"osh_custom_retina_sticky_logo":0,"osh_custom_sticky_logo_height":0,"osh_background_color":"","osh_links_color":"","osh_links_hover_color":"","osh_links_active_color":"","osh_links_bg_color":"","osh_links_hover_bg_color":"","osh_links_active_bg_color":"","osh_menu_social_links_color":"","osh_menu_social_hover_links_color":"","ocean_post_oembed":"","ocean_post_self_hosted_media":"","ocean_post_video_embed":"","ocean_link_format":"","ocean_link_format_target":"self","ocean_quote_format":"","ocean_quote_format_link":"post","ocean_gallery_link_images":"on","ocean_gallery_id":[],"footnotes":""},"categories":[18],"tags":[],"class_list":["post-2107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-devops","entry","has-media"],"yoast_head":"\n.env<\/code> ou des d\u00e9p\u00f4ts Git est un risque majeur. Cet article pr\u00e9sente les outils et m\u00e9thodes pour g\u00e9rer ces secrets de mani\u00e8re s\u00e9curis\u00e9e, auditable et automatis\u00e9e.<\/p>\n\n\n\nLe probl\u00e8me : des secrets partout, mal prot\u00e9g\u00e9s<\/h3>\n\n\n\n
docker-compose.yml<\/code>, la cl\u00e9 SMTP dans la configuration Nextcloud, le secret client Keycloak dans un fichier de d\u00e9ploiement. Trop souvent, ces valeurs finissent commit\u00e9es dans un d\u00e9p\u00f4t Git, partag\u00e9es par messagerie, ou dupliqu\u00e9es sur plusieurs serveurs sans contr\u00f4le de version.<\/p>\n\n\n\nSOPS : chiffrer les secrets dans Git<\/h3>\n\n\n\n
\n
secrets.yaml<\/code> avec les valeurs en clair<\/li>\n\n\n\nsops --encrypt --age <cl\u00e9_publique> secrets.yaml > secrets.enc.yaml<\/code><\/li>\n\n\n\nsecrets.enc.yaml<\/code> dans le d\u00e9p\u00f4t Git<\/li>\n\n\n\nsops --decrypt secrets.enc.yaml<\/code><\/li>\n<\/ol>\n\n\n\nHashiCorp Vault : un coffre-fort centralis\u00e9<\/h3>\n\n\n\n
\n
Choisir la bonne approche selon son contexte<\/h3>\n\n\n\n
\n
Bonnes pratiques essentielles<\/h3>\n\n\n\n
\n
gitleaks<\/code> ou detect-secrets<\/code>) pour bloquer automatiquement les commits contenant des credentials.<\/li>\n\n\n\n.env.example<\/code>.<\/li>\n\n\n\nInt\u00e9gration avec Ansible et CI\/CD<\/h3>\n\n\n\n
Conclusion<\/h3>\n\n\n\n