← L’Héritage numérique
Sécurité 6 juin 2026 · 6 · par L'équipe SecretVault

Sécuriser les clés SSH et l’accès à distance à vos serveurs personnels

Protégez vos accès distants en maîtrisant la génération, le stockage et la rotation des clés SSH, tout en préparant la relève en toute confidentialité.

Pourquoi sécuriser les clés SSH

Les clés SSH sont le principal vecteur d’authentification pour les connexions à distance sur les serveurs personnels (NAS, Raspberry Pi, serveurs cloud). Une clé compromise donne accès à l’ensemble des services hébergés, sans besoin de mot de passe supplémentaire. La confidentialité de vos données, mais aussi la continuité de votre activité numérique, dépendent donc de la rigueur avec laquelle vous gérez ces secrets.

Générer et stocker les clés de manière sécurisée

  1. Utiliser une taille de clé adaptée – Les clés RSA de 4096 bits ou les clés Ed25519 offrent un bon équilibre entre sécurité et rapidité. Ed25519 est aujourd’hui recommandée pour sa résistance aux attaques quantiques futures.
  2. Créer la clé sur un poste de confiance – Exécutez la commande suivante sur votre ordinateur principal, jamais sur une machine publique : 
    ssh-keygen -t ed25519 -a 100 -f $HOME/.ssh/id_ed25519 -C "clé principale $(date +%F)"
    • -a 100 augmente le nombre de tours de dérivation, rendant le mot de passe de la clé plus difficile à brute‑force.
  3. Protéger la clé privée par une phrase‑de‑passe – Même si votre disque est chiffré, une phrase‑de‑passe empêche l’utilisation de la clé en cas de copie non autorisée.
  4. Stockage hors ligne – Conservez une copie de la clé privée (chiffrée) sur un support amovible (clé USB, disque dur externe) placé dans un coffre‑fort. Cette copie doit être mise à jour à chaque rotation de clé.
  5. Gestion des autorisations – Le répertoire ~/.ssh doit être accessible uniquement par l’utilisateur (chmod 700 ~/.ssh) et la clé privée en 600.

Configurer l’accès par authentification à facteurs multiples (MFA)

Renforcer l’accès SSH avec un second facteur limite fortement les risques en cas de fuite de la clé privée.

  • Installer un serveur PAM compatible (ex. google-authenticator ou libpam-yubico).
  • Modifier le fichier de configuration SSH : 
    # /etc/ssh/sshd_config
PubkeyAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
ChallengeResponseAuthentication yes
  • Activer le module : 
    sudo apt install libpam-google-authenticator
sudo pam-auth-update --enable google-authenticator
  • Déployer les codes : chaque utilisateur configure son appli TOTP (Google Authenticator, Authy) et sauvegarde les QR‑codes dans un coffre‑digital.

Cette double authentification rend la compromission d’une clé seule insuffisante pour obtenir un accès.

Gestion de la relève et transmission sécurisée en cas de succession

Lorsque vous planifiez votre succession numérique, les clés SSH doivent être transmises de façon contrôlée :

  1. Créer une clé de secours dédiée à la relève ; elle n’est jamais utilisée au quotidien.
  2. Chiffrer la clé avec GPG en utilisant la clé publique du bénéficiaire : 
    gpg --encrypt --recipient "nom@exemple.com" --output backup_key.gpg id_ed25519
  3. Conserver le fichier chiffré dans un coffre‑vault (ex. SecretVault) avec un accès limité aux héritiers autorisés.
  4. Documenter les procédures : rédigez un petit guide (sans divulguer les phrases‑de‑passe) expliquant comment déchiffrer la clé, la placer dans ~/.ssh, et vérifier les autorisations.
  5. Tester la procédure : effectuez un exercice de récupération avant le besoin réel pour vous assurer que les étapes sont claires et fonctionnelles.

Bonnes pratiques récurrentes

  • Rotation régulière : changez vos clés au moins une fois par an ou après tout incident de sécurité.
  • Révocation immédiate : dès qu’une clé est compromise ou que vous quittez un poste, retirez‑la du fichier authorized_keys et désactivez‑la sur le serveur.
  • Audit des accès : conservez les logs SSH (/var/log/auth.log) et utilisez des outils comme fail2ban pour bloquer les tentatives répétées.
  • Limitation des adresses IP : si vous avez une adresse fixe, restreignez les connexions à cette IP dans sshd_config (AllowUsers user@192.0.2.0).

En suivant ces mesures, vous protégez non seulement vos serveurs contre les intrusions, mais vous assurez également que vos données restent accessibles aux personnes désignées, même après votre départ.

Envie d’aller plus loin avec SecretVault ?

Découvrir SecretVault