Bilan hébergement 2025
Beaucoup de changements ont émaillé cette année 2025 suite à mon retour en hébergement. Ma motivation était de réduire les coûts et de refaire de l'administration système en dilettante ; je n'ai pas cessé de me féliciter de ce choix toute l'année en voyant la folie ambiante : pression des USA sur l'Europe, cyber attaques régulières sur le gouvernement et les entreprises. Qui n'a pas, à minima, ses données personnelles (nom, prénom, e-mail, adresse postale) dans la nature ? Moi c'est fait et je l'ai mauvaise car je pense appartenir à la catégorie des personnes qui font attention : usage de mots de passes différents par site, activation de la double authentification dès que c'est possible. Mais à quoi bon si le site de commerce ou autre subit une intrusion et que son stockage de nos informations n'est pas suffisamment protégé ? Bon l'auto-hébergement ne va pas forcément éviter cela et je n'ai sûrement pas la prétention de protéger mes données mieux que des professionnels. Mais si cela arrive je ne pourrais m'en prendre qu'à moi-même et surtout j'ai la latitude de choisir ce que j'expose.
Ce qui est passionnant avec l'auto-hébergement c'est qu'il n'y a pas qu'une façon de faire les choses. A chacun de bâtir la solution qui lui convient : containers ou machines virtuelles, GNU/Linux ou BSD, de la sécuriser et de sélectionner les services indispensables pour ses usages. Moi j'ai fait le choix de l'hyperviseur Proxmox qui fait tourner un mix de machines virtuelles (exécutant des docker compose) et de containers LXC. Le pare-feu de Proxmox me permet d'isoler la partie auto-hébergée du reste du réseau et de contrôler les communications pour protéger le réseau d'un serveur qui serait compromis et inversement la partie auto-hébergée d'un parasite qui aurait eu accès à mon WiFi. Je ne vais pas revenir sur les services hébergés j'en parle assez régulièrement :-)
Je ne me suis pas relancé à héberger mes e-mails, c'est devenu trop compliqué de faire accepter ses messages aux GAFAM, de traverser les filtres anti spams... J'ai pris le parti d'héberger mes e-mails chez un fournisseur de confiance en l'occurrence Ecomail. Bien évidemment je ne suis pas à l'abri d'un piratage de mes boites e-mail donc j'ai essayé de mitiger le risque. Ecomail encourage à supprimer ses e-mails pour limiter l'impact environnemental et ça me convient car je fonctionne ainsi depuis longtemps, probablement traumatisé par le GTD : je traite, je supprime et je vide la corbeille régulièrement... bon parfois un peu agressivement ce qui m'a fait perdre des remboursements de mutuelle par exemple ;-) Pour parer à ma manie du nettoyage j'ai installé une instance de Bichon qui archive ma boite de réception et mes envois ; il me sert de tampon pour conserver mes e-mails un peu plus longtemps et les supprimer au plus vite du serveur public. Et j'ai repris en main l'hébergement de mes contacts et de mes calendriers sur une instance Radicale. Ce n'est pas parfait mais j'ai réduit les données exposées.
D'ailleurs j'ai arrêté d'exposer plusieurs services auto-hébergés au cours de l'année comme par exemple mon instance Gitea. Elle réplique mes projets publics hébergés chez Zaclys et pour les projets privés j'ai adopté des solutions parfois moins confortables privilégiant plus de sécurité. Je synchronise mes notes privées depuis mon réseau et j'ai un accès en lecture sur mon téléphone avec l'application GitNote : j'ai espoir d'améliorer cela dans quelque temps. De même, mon instance de Radicale n'est accessible que localement. Pour la synchronisation des contacts et du calendrier sur le téléphone, j'utilise DAVx5 qui a une option "synchroniser par WiFi" ; je n'ai aucune perte de confort, les modifications de la journée se synchronisent le soir en rentrant à la maison.
J'ai été tenté par des accès tunnels avec des solutions comme Tailscale (ou Headscale) mais vu la conjoncture, je préfère sacrifier un peu de confort en imposant l'administration depuis mon réseau local, la meilleure sécurité est de réduire la surface d'attaque. Pour les parties exposées publiquement comme mon instance Seafile ou Immich, je vais essayer d'améliorer encore la sécurité cette année.
Bonne année 2026