Bundle starter · B01
Fondation VPS durci
4 toolkits, un week-end de boulot, 10 des 13 tactiques MITRE fermées dès le premier déploiement.
Ta base technique propre, posée en un week-end.
VPS durci, DNS/TLS auto, boilerplate Next.js et CI GitHub. Le socle technique sain sur lequel s'empile tout le reste, avant même de penser légal, vente, contenu ou SaaS.
// pourquoi ce bundle existe
Le scénario que ce bundle anticipe.
Tu provisionnes un VPS chez Hostinger, tu installes Coolify en une commande, tu déploies. Quinze minutes plus tard, ton port 22 reçoit déjà ses premières tentatives de brute-force SSH.
Ce n'est pas une métaphore : c'est le trafic ambiant d'Internet. Si tu as laissé le mot de passe par défaut, ou exposé l'admin Coolify sur le port 8000 sans MFA, l'attaquant n'a pas besoin de te cibler. Il scanne, il rentre, il déploie un miner. Le scénario classique n'est pas le 0-day spectaculaire : c'est la mauvaise hygiène par défaut.
Côté DNS et email, sans DNSSEC ni SPF/DKIM/DMARC, n'importe qui peut envoyer des mails en ton nom (phishing, escroquerie, deliverability ruinée), sans même toucher à ton infra.
Et la chaîne qui livre ton site est elle-même une cible : une Action GitHub compromise (l'affaire tj-actions, le cas Codecov) injecte du code dans ton build et atterrit en prod sans que tu la voies passer. Le déploiement automatique, c'est pratique pour toi comme pour l'attaquant.
$ cat angles-morts.txt
Les angles morts que ce bundle ferme.
Chaque ligne est un risque mesuré, pas un fantasme. Si tu reconnais ton stack dans une d'elles, c'est que ce bundle est pour toi.
Architecture emboîtée
Un starter empile tous les précédents
Les six starters ne sont pas six offres séparées : c'est une seule pile. B01contient l'intégralité des bundles précédents, chacun avec son périmètre, et y ajoute sa propre couche. Tu ne paies jamais deux fois la même brique.
$ tree B01/
Ce qu'il y a dans la boîte.
Chaque toolkit est livré avec son code, son runbook, et ses tests. Pas de SaaS caché, pas d'abonnement implicite — tu possèdes tout ce que tu déploies.
$ ls direct/ # ce que B01 ajoute en propre
$ curl -I --insecure-disabled https://...
Sites déployés sur cette stack.
La théorie c'est bien. Voici ce que B01 donne en production réelle — clique pour ouvrir le site et inspecter les headers, la CSP, la chaîne TLS toi-même.
$ mitre-attack --highlight B01
Les maillons verrouillés dans la kill-chain.
La chaîne MITRE ATT&CK décompose une attaque en 13 tactiques, de la reconnaissance à l'impact. Ce bundle rend impraticables les maillons surlignés ci-dessous — l'attaquant ne peut plus enchaîner.
$ mitre map --attack-to-defend B01
Chaque problème, sa contre-mesure.
Pour chaque technique d'attaque ATT&CK qui vise B01, la mesure concrète qu'il pose pour la neutraliser — risque à gauche, parade en face.
Le scan SSH automatisé est le bruit de fond d'Internet : ton port 22 est testé en continu, sans même que tu sois ciblé.
SSH key-only + fail2ban : plus aucun mot de passe à deviner, et les IP qui insistent sont bannies.
Un spray distribué teste quelques mots de passe courants sur Coolify, SMTP et SSH pour rester sous le radar.
Rate-limit Traefik + fail2ban + MFA : la cadence est cassée et un mot de passe seul ne suffit jamais.
Coolify, Next.js ou un service auto-déployé exposés sur Internet sont des cibles d'exploitation directe.
Hardening Coolify + headers stricts Next.js : la surface exploitable est réduite au strict minimum.
Admin Coolify ou SSH exposés sur Internet : un identifiant volé suffit à ouvrir la porte.
MFA TOTP + IP allowlist optionnelle : l'identifiant volé seul ne donne plus accès.
Un compte admin volé, et c'est jeu fini : l'attaquant hérite de tous tes droits sans rien casser.
MFA TOTP + audit log + alerting sur les connexions anormales : le vol seul ne suffit plus, et il se voit.
Une backdoor PAM ou un sshd_config malveillant ouvrent un accès permanent et discret.
Audit log immuable + supervision de /etc/ssh/sshd_config et de pam.d : toute modification est détectée.
L'injection de scripts tiers sur ton site piège tes visiteurs à leur insu.
CSP stricte à nonce, zéro 'unsafe-inline' : aucun script non autorisé ne s'exécute.
Une faille XSS exécute du JavaScript hostile dans le navigateur de tes visiteurs.
CSP à nonce + headers durcis + ESLint security en CI : l'injection est bloquée et détectée au build.
Spoofing DNS ou interception TLS : l'attaquant se glisse entre tes visiteurs et ton serveur.
DNSSEC + HSTS preload + TLS auto Let's Encrypt : l'interception devient techniquement coûteuse.
Des mails frauduleux envoyés depuis ton domaine piègent tes contacts et brûlent ta réputation.
SPF + DKIM + DMARC en reject : les usurpateurs n'ont plus de route pour écrire en ton nom.
Une Action GitHub compromise (tj-actions, etc.) injecte du code hostile dans ton build.
Pinning par SHA + scope "selected" + GitHub App à permissions minimales : le rayon d'impact est contenu.
L'ajout d'une clé SSH ou d'un collaborateur GitHub garantit à l'attaquant un retour permanent.
Branch protection prod + audit log + alerting sur les changements d'identité : la persistance est fermée.
Un flood applicatif sature ton app Next.js et la met à genoux.
Rate-limit Traefik + middleware applicatif : les vagues sont absorbées avant d'atteindre l'app.
$ cat faq.md
Tu hésites ? Lis ça.
Je suis débutant Linux, c'est jouable ?
Oui. Le bundle livre un script d'install commenté pas-à-pas, un runbook de 30 pages, et tous les choix par défaut sont sûrs. Tu lances, tu suis, c'est durci. Le seul prérequis : un VPS chez un hébergeur (Hetzner, OVH, Scaleway, ou Hostinger, lien affilié qui nous aide sans rien te coûter de plus).
Pourquoi Coolify et pas Vercel ?
Vercel est excellent mais ferme la porte au self-hosting et explose en prix dès qu'on monte en charge. Coolify te garde maître de ta stack, y compris si tu veux migrer un jour vers du Kubernetes.
Combien de temps pour tout déployer ?
Un week-end serré, deux soirées tranquilles. Le runbook est conçu pour être suivi en mode "step-by-step", pas en mode "comprends d'abord puis fais".
Si je n'ai pas encore de domaine ?
Aucun souci, le bundle inclut la configuration DNS/TLS auto (Cloudflare + Let's Encrypt). Tu suis la procédure : tu achètes le domaine, tu colles deux NS, c'est câblé.
$ ./buy --bundle B01
Passer commande.
Paiement unique Stripe, accès au bundle envoyé par email après confirmation. Aucun abonnement, aucune licence par projet.
- Tous les toolkits inclus — code, runbook, tests
- Aucun SaaS caché, aucun abonnement implicite
- Mises à jour de sécurité incluses
- Licence commerciale mono-utilisateur — projets perso et prestations client autorisés
B01te paraît trop, ou pas assez ?
// ou compare les 6 starters d'un coup d'œil sur le tableau de couverture

