Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Hoodik - Le cloud perso qui n'a jamais vu vos fichiers en clair

Par : Korben ✨
9 juillet 2026 à 10:04

Votre Nextcloud sait tout de vous. L'admin du serveur (vous, ou pire, quelqu'un d'autre) peut ouvrir n'importe quel fichier stocké dessus, parce que le chiffrement de bout en bout reste une option planquée dans un plugin.

C'est pourquoi Hoodik , un projet de Tibor Hudik, prend le problème à l'envers. Parce que chez lui, le chiffrement, ce n'est pas une case à cocher, c'est l'architecture au complet.

Grâce à sa solution, vos fichiers sont chiffrés dans votre navigateur, avant même de partir sur le réseau, et à aucun moment le serveur ne voit vos fichiers en clair, ni ne reçoit les clés de chiffrement.

Votre clé privée ne quitte donc pas votre machine, et comme ça, même une intrusion sur le serveur ou un vol ne livrera jamais vos fichiers en clair.

L'interface web, sobre et sans fioritures

Et là où beaucoup d'outils chiffrés deviennent pénibles à l'usage, celui-ci garde les trucs du quotidien super pratiques. Y'a du partage entre comptes avec des rôles (lecture, édition, co-propriétaire), des notes Markdown chiffrées avec historique de versions, et même des aperçus photo et vidéo sans rien déchiffrer côté serveur, HEIC de l'iPhone compris.

La recherche fonctionne aussi alors que le serveur ne voit rien… En fait, votre navigateur découpe les noms de fichiers en petits morceaux, les hashe, et le serveur ne compare que ces empreintes, et jamais de texte en clair. Quant au partage public, la clé de déchiffrement voyage dans le fragment de l'URL, cette partie après le # que votre navigateur n'envoie jamais au serveur.

Au niveau de la crypto, le boulot se divise en deux, il y a d'un côté une paire RSA 2048 qui ne sert qu'à faire circuler les clés, et de l'autre, AEGIS-128L qui chiffre vos données, calculé en direct par le navigateur grâce à WebAssembly (du code quasi natif quoi...). Et avant que vous leviez un sourcil sur ce cipher au nom de Pokémon, AEGIS-128L est finaliste de CAESAR, un concours international de crypto, et est en cours de standardisation à l'IETF. Vous pouvez par exemple le retrouver implémenté dans libsodium . C'est du sérieux, donc.

L'autre bonne surprise, c'est le poids plume de l'app. Le serveur est écrit en Rust (Actix-web) avec un front en Vue 3 et il tourne autour de 20 Mo de RAM au repos, alors que votre Nextcloud réclame ses 200 à 500 Mo pour afficher 3 photos de vacances.

Hoodik est dispo sous la forme d'une image docker pour AMD64 et ARM donc vous pouvez l'installer sur n'importe quoi, un Raspberry Pi , un vieux NAS, un vieux PC, ce que vous voulez...

docker run --name hoodik -d \
-e DATA_DIR='/data' \
-e APP_URL='https://my-app.example.com' \
--volume "$(pwd)/data:/data" \
-p 5443:5443 \
hudik/hoodik:latest

Pour vos téléphones, il y a également des applications Android et iOS dont le chiffrement tourne en Rust compilé dans l'appli elle-même (et pas une page web déguisée en application, on a assez donné...). Par contre elles passent en payant après 30 jours d'essai, sans tarif affiché publiquement sur le site... c'est le modèle économique du projet.

Autrement, c'est sous licence Creative Commons, le code est dispo sur GitHub , mais par contre notez bien que l'usage commercial est interdit sans l'accord de l'éditeur. Ajoutez à ça un projet encore jeune et aucun audit de sécurité indépendant publié, contrairement à Cryptomator qui est en GPLv3 et audité. Après ma comparaison s'arrête là par contre, parce que Cryptomator chiffre par-dessus un cloud existant alors que Hoodik c'est vous qui l'hébergez.

Quoi qu'il en soit, pour votre dossier de photos de famille, vos sauvegardes ou vos documents sensibles, le compromis se défend largement. Et si vous voulez explorer d'autres pistes, jetez un œil à OpenCloud pour du Nextcloud-like allégé, ou à Picocrypt pour chiffrer des fichiers à l'unité.

Allez, y'a plus qu'à ressusciter le vieux NAS qui prend la poussière et suivre le guide d'installation pour lancer votre docker compose up.

Votre nuage perso vous attend !

Merci à Camille Roux pour le lien !

Firefox dans Docker - Le navigateur jetable pour surfer sans flipper

Par : Korben ✨
9 juillet 2026 à 08:42

On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de Linuxserver.io a pondu un truc super pour ça.

Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel.

Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session jetable qui est totalement coupée de votre vraie machine. Et comme ça, si ça part en couille, vous butez le conteneur et on n'en parle plus.

Voilà, ça se présente juste comme une page HTTPS avec un navigateur dedans. Et comme c'est LinuxServer qui maintient l'image, vous êtes tranquilles parce que c'est du sérieux.

L'avantage d'avoir ce truc, c'est qu'un Firefox en conteneur ne voit ni votre répertoire personnel, ni vos cookies, ni vos sessions Google, ni vos extensions, absolument rien, il est totalement isolé. Donc si un site tente un drive-by download ou un exploit navigateur, eh bien en principe les dégâts resteront coincés dans le conteneur. Et le simple fait de le redémarrer remettra tout à 0.

Attention quand même, un conteneur, ce n'est pas une machine virtuelle. Une vulnérabilité au niveau du noyau pourrait en théorie s'en échapper. Mais c'est pas le genre d'attaque qui se fait avec juste un clic douteux sur une page web.

Les chercheurs en sécu s'en servent pour ouvrir des pièces jointes chelou, les marketeux pour jongler avec 12 comptes ad sans cookie cross-tracking , et les paranos dans mon genre pour cliquer sur les liens des mecs bizarres de Discord sans rien flinguer chez eux..

Après y'a des petits inconvénients. Je pense aux perfs graphiques qui prennent une claque par rapport à un Firefox natif ou encore l'audio qui transite par le pipeline du navigateur, du coup ça crachote parfois sur les vidéos lourdes. Le copier-coller marche, mais en passant par la section presse-papiers de la barre latérale Selkies , pas en direct. Et la persistance ne tient que si vous mappez le volume /config comme il faut, sinon vos onglets et vos bookmarks gicleront dès que le conteneur sera recréé (à la première mise à jour d'image, typiquement).

Côté vie privée c'est plutôt une qualité mais pour un usage quotidien, ça peut devenir relou.

Installation en une commande

L'image officielle, c'est lscr.io/linuxserver/firefox:latest. Elle tourne sur Selkies depuis juin 2025 (avant c'était KasmVNC) et démarre en Wayland par défaut depuis mars 2026. Maintenant, si un site part en vrille à cause de ça, vous ajoutez le paramètre PIXELFLUX_WAYLAND=false à la commande Docker et vous serez de retour en X11.

La commande minimale ressemble à ça :

docker run -d \
--name=firefox \
-e PUID=1000 \
-e PGID=1000 \
-e TZ=Europe/Paris \
-e LC_ALL=fr_FR.UTF-8 \
-p 3001:3001 \
-v $HOME/firefox-config:/config \
--shm-size=1gb \
--restart unless-stopped \
lscr.io/linuxserver/firefox:latest

Le --shm-size=1gb, c'est la mémoire partagée de Docker et vous n'y couperez pas, désolé. Si vous le zappez, YouTube comme les sites un peu lourds vous planteront le navigateur. Le port 3001, c'est l'accès HTTPS, avec un certificat auto-signé qui fera râler votre Firefox principal (c'est normal, faut l'accepter). Y'a aussi un port 3000, mais lui c'est du HTTP en clair, à réserver derrière un reverse proxy genre SWAG et rien d'autre.

Ensuite, direction https://localhost:3001/ et un joli Firefox vous attend. Notez que par défaut, il n'y a AUCUNE authentification. Personne ne vous demande rien, alors si vous voulez l'exposer sur votre réseau, définissez bien un CUSTOM_USER et PASSWORD pour activer le basic auth avant qu'un petit malin de votre réseau ne tombe dessus.

La version docker-compose, plus propre

Envie d'un setup versionnable, que vous pouvez reproduire ailleurs sans réfléchir ? Le compose fait ça mieux :

---
services:
firefox:
image: lscr.io/linuxserver/firefox:latest
container_name: firefox
environment:
- PUID=1000
- PGID=1000
- TZ=Europe/Paris
- LC_ALL=fr_FR.UTF-8
- CUSTOM_USER=korben
- PASSWORD=changezmoi
- HARDEN_DESKTOP=true
- HARDEN_OPENBOX=true
volumes:
- ./firefox-config:/config
ports:
- 3001:3001
shm_size: "1gb"
restart: unless-stopped

Ensuite, un docker compose up -d et roulez jeunesse. Le volume ./firefox-config conserve votre profil entre deux redémarrages avec bookmarks, extensions installées depuis le store Mozilla, tout reste en place.

Et si vous avez envie de repartir de zéro, on met le dossier à la poubelle, on relance, et voilà. Et pour glisser des outils tiers dans le conteneur (filezilla, un éditeur, ce genre de bidule), [proot-apps install](https://github.com/linuxserver/proot-apps) les posera dans $HOME, où ils survivront aux mises à jour de l'image.

Le hardening qu'il faut absolument activer

Maintenant, le piège que la doc évoque du bout des lèvres et qui mérite d'être écrit en gros c'est que l'interface web embarque un terminal avec sudo passwordless . Traduction : quiconque accède à votre Firefox conteneurisé devient root dans le conteneur en deux clics. Exposez ça sur votre réseau, ou pire sur Internet, sans durcir le machin, et vous ouvrez un boulevard.

La parade tient en une variable : **HARDEN_DESKTOP=true**, qui pose les principaux verrous d'un coup. Ça coupe sudo, ça vire les terminaux, et ça bloque xdg-open et exo-open, qui pourraient lancer des trucs hors conteneur. Vous pouvez empiler ça avec HARDEN_OPENBOX=true par-dessus, histoire de neutraliser les raccourcis clavier dangereux genre Alt+F4, de désactiver le clic droit et de masquer le bouton de fermeture. Firefox reste parfaitement utilisable, mais impossible de s'évader pour faire mumuse avec le système derrière.

Et pour une exposition sur Internet, le basic auth CUSTOM_USER/PASSWORD ne suffira pas car c'est trop léger. Moi ce que je vous recommande, c'est de coller le tout derrière un reverse proxy SWAG avec une vraie couche OAuth2 ou Authelia. Le basic auth, gardez-le pour le LAN entre potes ou collègues de confiance, mais pas au-delà.

SealSkin, le bonus qui change tout

SealSkin , c'est la cerise sur le conteneur ^^. C'est une extension navigateur, dispo pour Chrome et Firefox, qui monte la garde sur votre navigateur principal et détourne ce qui sent mauvais vers le conteneur isolé. Un lien repéré comme suspect ? Hop, il s'ouvre direct dans le Firefox conteneurisé. Pareil pour les téléchargements, qui atterrissent dans le conteneur au lieu de finir sur votre machine.

Du coup, l'isolation devient un réflexe permanent au lieu d'un machin que vous activez à la main quand vous y pensez (c'est-à-dire jamais). Seule contrainte par contre, faudra héberger le serveur SealSkin vous-même, et installer l'extension dans votre vrai Firefox. Mais vous verrez, après quelques jours à ce régime, vous aurez du mal à faire autrement.

Et sur tablette ou mobile ?

J'imagine que vous comptiez sur l'ancien tag kasm pour le tactile ? Eh bien c'est raté, puisque LinuxServer l'a déprécié début juillet. En échange, la barre latérale Selkies embarque désormais un trackpad virtuel et un clavier à l'écran, donc de quoi rendre l'interface utilisable depuis un iPad ou un smartphone sans bidouille en plus. On reste loin, c'est vrai, du confort d'un vrai desktop, et taper Ctrl+Tab au doigt c'est toujours la misère, mais pour dépanner ça fait le job.

Et voilà, votre Firefox jetable vit désormais dans son petit conteneur, bien au chaud. Comme ça, le prochain lien douteux, vous l'ouvrirez sans trembler... pour tester des sites au calme, difficile de trouver mieux, je pense.

Excalidraw : Outil open source de tableau blanc collaboratif

Par : Fx
3 juillet 2026 à 07:00
Excalidraw - Excalidraw : Outil open source de tableau blanc collaboratif

Excalidraw est un outil de tableau blanc collaboratif virtuel qui permet de créer facilement des schémas à l’aspect d’un dessin à la main. La solution est open source et monte en puissance. Souvent comparée à des géants comme Miro ou FigJam, Excalidraw possède plusieurs atouts : open source, gratuit, autohébergeable et simplicité d’utilisation. Grâce à son style visuel unique, Excalidraw s’est rapidement imposé comme un outil incontournable pour le brainstorming, les schémas techniques ou les wireframes low-fidelity.

- Excalidraw : Outil open source de tableau blanc collaboratifExcalidraw

Excalidraw est un tableau blanc collaboratif virtuel permettant de créer des diagrammes avec un rendu “dessiné à la main”. Contrairement aux outils classiques très corporate, Excalidraw mise volontairement sur un aspect croquis qui rend les idées plus accessibles et moins figées.

Le projet est entièrement open source et son code est disponible sur GitHub. Avec plus de 126 000 étoiles, il fait partie des projets open source les plus populaires dans la catégorie « Productivité et Collaboration ».

Pourquoi Excalidraw plaît autant ?

Le succès d’Excalidraw repose sur une philosophie simple : réduire au maximum la friction entre l’idée et sa représentation visuelle. L’interface est minimaliste, sans surcharge de fonctionnalités. En quelques secondes, il est possible de dessiner des schémas d’architecture, diagrammes techniques, cartes mentales, organigrammes, etc.

Le rendu « dessiné à la main » apporte un côté plus humain et spontané, qui tranche avec la rigidité des outils plus traditionnels.

Principales fonctionnalités

Même si Excalidraw paraît volontairement simple, il propose de nombreuses fonctionnalités très utiles :

  • Canvas infini ;
  • Collaboration en temps réel ;
  • Chiffrement de bout en bout ;
  • Sauvegarde locale automatique ;
  • Export PNG, SVG et JSON ;
  • Fonctionnement hors ligne (PWA) ;
  • Dark mode ;
  • Bibliothèques de formes ;
  • Support des images ;
  • Annuler / Rétablir ;
  • Partage via lien…

Il est bien entendu possible d’importer également plusieurs formats différents dans l’outil.

Excellent outil pour les développeurs

Excalidraw est très apprécié des développeurs et des équipes Tech. Pourquoi ? Parce qu’il permet de créer rapidement des schémas d’architecture lisibles sans passer par des outils lourds comme Visio ou Lucidchart. A noter qu’il y a également un package React permettant d’intégrer Excalidraw dans vos propres applications.

Gratuit, open source et auto-hébergeable

C’est certainement l’un des plus gros atouts d’Excalidraw. La version de base est entièrement gratuite et ne nécessite aucune création de compte. Les dessins sont sauvegardés directement dans le navigateur.

Pour les utilisateurs avancés, il est possible de :

  • Auto-héberger sa propre instance Excalidraw ;
  • Intégrer l’éditeur dans une application ;
  • Déployer une instance via Docker, y compris sur un NAS.

Quelques limites

Même si l’outil est excellent, il possède aussi quelques limites :

  • Moins adapté aux diagrammes ultra-précis ;
  • Gestion multi-pages limitée ;
  • Certaines fonctionnalités avancées réservées à Excalidraw+.

Pour des besoins très avancés en gestion de projets collaboratifs, Miro ou FigJam restent souvent plus complets. Mais pour du brainstorming rapide, de la documentation technique ou des maquettes, Excalidraw offre probablement l’un des meilleurs rapports simplicité/efficacité du marché.

En synthèse

Excalidraw réussit quelque chose de rare : rendre le dessin technique simple, rapide et agréable. Son approche open source, son style « croquis à la main », sa gratuité et ses possibilités d’auto-hébergement en font une alternative intéressante face aux solutions SaaS traditionnelles.

WSL Containers - des conteneurs Linux sans Docker Desktop

Par : Korben ✨
29 juin 2026 à 23:07

Microsoft vient de lâcher un truc qui va faire plaisir à tous ceux qui bidouillent fort des conteneurs Linux depuis leur machine Windows. Ça s'appelle WSL Containers (WSLC pour les intimes, et pas WSL 3) et l'objectif c'est de faire tourner des conteneurs Linux nativement sous Windows sans avoir à passer par des outils tiers du genre Docker.

Pour en profiter, tapez la commande suivante :

wsl --update --pre-release

Cela mettra à jour votre WSL en version 2.9.3 ou supérieure et vous obtiendrez alors une toute nouvelle commande : wslc.

WSLC est un alias qui lance en réalité container.exe et qui permet de gérer tout le cycle de vie d'un conteneur Linux avec des commandes très classiques : run, stop, build, tag, push, pull, prune. Voici un vrai exemple tiré de la doc de Microsoft :

wslc run -d --name=webtop -e PUID=1000 -e PGID=1000 -e TZ=Etc/UTC -p 3000:3000 -p 3001:3001 lscr.io/linuxserver/webtop:ubuntu-kde

Ce qu'on lance là c'est bien une image en provenance de LinuxServer dont je vous ai déjà parlé, et comme vous pouvez le voir, vous ne serez pas dépaysé si vous connaissez déjà un peu Docker.

Et la cerise sur le gâteau, c'est le support GPU. Vous collez --gpus all sur un conteneur PyTorch et CUDA répond présent, sans config tordue. C'est énorme pour ceux qui font du dev IA localement sous Windows. Vous allez enfin pouvoir entrainer ou inférer dans un conteneur propre sans avoir à vous taper avec les drivers.

Microsoft pousse aussi des SDK (packages NuGet pour C, C++ et C#) histoire de piloter tout ça depuis vos applis si ça vous amuse.

Maintenant, vous vous interrogez sûrement sur les perfs de WSLC et c'est bien normal. De ce que j'ai lu, comme WSLC passe par VirtioFS pour son système de fichiers par défaut, les accès seraient 2 fois plus rapide. J'emploie le conditionnel car personne n'a encore réalisé de benchmark indé mais si ça se vérifie, ça va être énorme tant le partage de fichiers entre Windows et un conteneur Linux c'était la misère. Là vos builds vont respiiiiirer !!!

Et pour calmer les inquiets : Docker Desktop, Podman et Rancher Desktop ne disparaissent pas, rassurez-vous. Microsoft précise même que ces outils profiteront de changements de bas niveau apportés par WSLC. C'est donc une fondation, et absolument pas une déclaration de guerre.

C'est pour le moment dispo en public preview, donc attendez-vous à quelques bugs, et la mise à dispo pour tous, ce sera normalement pour cet automne. En tout cas, je suis content de voir cette évolution. Ça arrive pile au moment où Apple fait pareil de son côté , ce qui en dit long sur où va le vent. Donc, si vous aviez décroché de WSL, c'est peut-être le moment de remettre le nez dedans .

À tester sur une machine de dev, pas en prod, hein ! Et vous me direz si le VirtioFS tient ses promesses.

Source

Dream Server - Un serveur IA complet chez vous en une commande

Par : Korben ✨
26 juin 2026 à 16:41

Monter une vraie IA à la maison, c'est vite une galère. Vous achetez une super machine puis vous collez dessus toute votre liste au père Noël (Chat local, reco vocale, génération d'image, RAG et compagnie) et vous voilà à empiler des dockers à n'en plus finir. Eh bien Light Heart Labs en a eu marre de ces bricolages et nous a pondu Dream Server, un outil qui câble tout ce petit monde à votre place !

Une seule commande et c'est parti mon kiki (Linux et macOS) :

curl -fsSL https://raw.githubusercontent.com/Light-Heart-Labs/DreamServer/main/dream-server/get-dream-server.sh | bash

Ou Windows :

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
git clone https://github.com/Light-Heart-Labs/DreamServer.git
cd DreamServer
.\install.ps1

Ça va lancer le script qui va ensuite tout paramétrer tout seul et choisir le modèle d'IA qui collera le plus à votre matériel, et cela que vous ayez une RTX 4090, un Mac M4 avec mémoire unifiée ou encore une puce AMD Strix Halo voire un vieux PC sans GPU.

Edit : un lecteur m'a remonté un piège si vous êtes sous Linux configuré en français (ou n'importe quelle locale qui écrit les décimales avec une virgule). Le script génère tout seul les valeurs de votre fichier .env en suivant le format de nombres de votre système, et il vous colle des 16,0 au lieu de 16.0. Du coup l'install se vautre avec une erreur dans le genre COMFYUI_CPU_LIMIT: expected number, got '16,0'. La parade, confirmée par un des auteurs, c'est de relancer l'installeur en forçant la locale C (celle qui met des points à la place des virgules) :

LC_ALL=C ./install.sh

Ensuite, pendant que le LLM se télécharge à fond les ballons, un autre petit modèle de 1,5 milliards de paramètres en backup afin que vous puissiez quand même "discuter" avec votre Dreamserver.

Le rôle de Dreamserver c'est donc juste de prendre toutes les briques de l'IA pour vous en faire un truc clé en main. Open WebUI pour le chat, llama-server pour l'inférence, Whisper et Kokoro pour la voix, ComfyUI pour les images, Qdrant pour le RAG, SearXNG pour la recherche web sans mouchard, et bien sûr n8n pour brancher tout ça à vos automatisations.

Et une fois que c'est en route, suffit de lancer la commande dream et là vous pourrez tout faire.

Par exemple dream status pour visualiser l'état des services et du GPU, dream model swap T3 pour changer de "palier" sur votre matos, dream enable n8n pour activer une extension ou encore dream mode hybrid pour avoir de l'inférence en local avec possibilité de basculer sur une IA dans le cloud via une API.

Dreamserver reste un orchestrateur, et pas un moteur IA magique, donc si vous adorez tout assembler vous-même, vous n'avez clairement pas besoin de ça. Par contre, si vous vous en foutez, et que vous voulez juste votre IA qui tourne ce soir, ça vous fera gagner des heures de bidouille.

Faut dire qu'à mesure que l'IA devient une infrastructure de base, dépendre à 100% d'un abonnement cloud qui peut tripler ses tarifs ou couper votre accès du jour au lendemain, ça craint un peu. Donc je pense qu'on est tous bien contents d'avoir des solutions clé en main comme celle-ci.

Si ça vous tente, c'est sur le dépôt de Dream Server .

dnsweaver - DNS automatique pour Docker, Proxmox et K8s

Par : Korben ✨
15 juin 2026 à 15:55

Si vous hébergez vos propres services derrière une IP dynamique, vous connaissez sans doute des outils merveilleux comme DynDNS, NoIP, ou encore Cloudflare DDNS.

Sauf que dès que votre homelab mélange du Docker, du Proxmox et un cluster Kubernetes, ça devient vite le bordel à maintenir ! Mais Maxfield Allison, un contributeur du projet OPNsense, qui visiblement en avait marre lui aussi de gérer tout ça à la mimine, nous a pondu dnsweaver .

dnsweaver, ça fait pas repousser les cheveux sur les sysadmins (désolé ^^) mais c'est un outil en Go qui peut se lancer comme un service et qui se configure avec la clé API de votre Cloudflare (ou d'un autre provider) pour mettre à jour sa zone DNS. Comme ça, quand l'un de vos conteneurs démarre avec un label Traefik, hop, l'enregistrement DNS apparaît automatiquement. Et quand vous le virez, il disparaît.

C'est génial parce que ça vous permet de ne plus jamais toucher à votre zone DNS à la main.

Et une fonctionnalité incroyable de dnsweaver, c'est le split-horizon DNS qui permet de donner accès à votre réseau local et à ses services depuis n'importe où sur Internet, mais avec la bonne tête selon d'où vous vous connectez. Vous aurez grâce à ça, votre bitwarden.maison.fr qui pointe vers le 192.168.1.10 quand vous êtes chez vous sur le réseau local, et vers votre IP publique quand vous tapez la même adresse depuis l'extérieur. Comme ça, plus la peine de maintenir 2 configs séparées qui finiront toujours par diverger à un moment...

Et dnsweaver ne se contente pas d'un seul fournisseur et ça c'est cool. Comme ça, si vous voulez allier la puissance des services de Cloudflare (pour le cache, la sécurité, la protection DDoS...etc.) à, par exemple, un Technitium perso pour votre réseau interne, bah c'est possible ! dnsweaver pousse comme ça vers 7 backends en parallèle: Technitium, Cloudflare, Pi-hole, AdGuard Home, dnsmasq, le bon vieux RFC 2136 (pour BIND, PowerDNS ou le DNS de Windows Server) et même un webhook pour brancher un truc maison.

Côté détection, vous aurez capté, ça va lire les labels Traefik, Caddy ou nginx-proxy sur vos conteneurs Docker, les annotations Ingress sur Kubernetes, et côté Proxmox il récupère vos VMs (via l'agent QEMU) comme vos conteneurs LXC. Très cool donc pour les furieux qui gèrent plein d'instances sur différents serveurs !!

Pour l'installer, maintenant vous avez le choix: Soit vous passez par l'image Docker maxamill/dnsweaver, le registre ghcr.io ou un chart Helm si vous êtes plutôt team Kubernetes. Vous lui passez les credentials de vos providers (via des secrets Docker ou Kubernetes, et pas en clair dans un fichier qui traîne comme un gros nooooobbzzzz) et vous le laissez tourner. Il expose même des métriques Prometheus, du coup vous le surveillez comme le reste de votre stack.

Alors oui, je saiiiis, ExternalDNS fait déjà ce genre de boulot, sauf que c'est du Kubernetes only. Alors que dnsweaver, lui, avale les trois plateformes d'un coup, ce qui colle pile poil à l'ADN même du homelab bordélique que vous avez chez vous ^^.

Le projet est encore assez récent et porté par une seule personne mais ça évolue à une vitesse impressionnante (déjà des dizaines de versions livrées en quelques mois), alors je vous recommande de tester ça quand vous aurez 5 min (pas en prod tout de suite par contre, promettez le moi, bande de fifous !!)

Voilà, si gérer votre DNS maison vous bouffe un temps de dingue, dnsweaver est à envisager (pas comme votre cousin.e, donc... )

DocuSeal : Alternative open source à DocuSign pour signer vos PDF

Par : Fx
19 mai 2026 à 07:00
DocuSeal

Dans l’univers de la signature électronique, un acteur s’est largement imposé : DocuSign. Mais ce dernier coûte très cher… Entre abonnements mensuels, limitations d’enveloppes et frais annexes (SMS, vérification d’identité, support), la facture peut grimper très vite. Face à ce modèle, DocuSeal propose une approche radicalement différente : open source, gratuit et auto-hébergeable.

DocuSeal

DocuSeal : le DocuSign 100% gratuit

Lancée en 2023, DocuSeal est née d’un besoin simple : signer des documents sans abonnement. En quelques semaines, le projet devient une solution complète et aujourd’hui largement adoptée sur GitHub.

Fonctionnellement, DocuSeal couvre l’essentiel (et même plus) :

  • Transformation de PDF en formulaires interactifs ;
  • Éditeur drag-and-drop avec 13 types de champs ;
  • Gestion multi-signataires avec ordre personnalisé ;
  • Notifications et rappels automatisés ;
  • Signature mobile fluide ;
  • Audit complet et vérification des signatures ;
  • Modèles et envois en masse ;
  • API complète pour intégration SI…

On est loin d’un simple clone, DocuSeal vise clairement les usages professionnels.

DocuSeal

Docker pour faciliter l’auto-hébergement

L’un des points forts de DocuSeal, c’est son déploiement. Une simple commande Docker suffit pour lancer une instance complète. Pas de dépendance complexe, pas de SaaS opaque.

Ce choix technique change tout :

  • Vos documents restent sur votre infrastructure ;
  • Aucun tiers n’accède à vos contrats ;
  • Conformité facilitée (RGPD, confidentialité interne) ;
  • Scalabilité maîtrisée selon vos besoins.

Dans un contexte où la souveraineté des données devient critique, c’est là aussi un sacré avantage.

Zéro coût, zéro limite

Là où DocuSign facture chaque fonctionnalité, DocuSeal adopte un modèle sans friction :

  • Documents illimités ;
  • Signataires illimités ;
  • Stockage illimité ;
  • Aucun coût caché.

Une petite société peut économiser plusieurs milliers d’euros par an… quelque soit la taille de l’équipe. Tout au plus, il faudra passer par un VPS pour quelques euros par mois. A noter que Docuseal propose sur ses serveurs avec une offre gratuite et une payante. Et contrairement à ce que l’on pourrait penser d’un projet open source récent, DocuSeal affiche déjà un niveau de maturité sérieux avec des certifications ISO 27001, SOC 2, HIPAA, ainsi que la conformité au RGPD.

Docker

La façon la plus simple pour profiter de DocuSeal, c’est très certainement l’utilisation avec Docker… par exemple sur un NAS. L’éditeur fournit un docker-compose.yml complet et facile à adapter.

services:
  app:
    depends_on:
      postgres:
        condition: service_healthy
    image: docuseal/docuseal:latest
    ports:
      - 3000:3000
    volumes:
      - ./docuseal:/data/docuseal
    environment:
      - FORCE_SSL=${HOST}
      - DATABASE_URL=postgresql://postgres:postgres@postgres:5432/docuseal

  postgres:
    image: postgres:18
    volumes:
      - './pg_data:/var/lib/postgresql/18/docker'
    environment:
      POSTGRES_USER: postgres
      POSTGRES_PASSWORD: postgres
      POSTGRES_DB: docuseal
    healthcheck:
      test: ["CMD-SHELL", "pg_isready -U postgres"]
      interval: 5s
      timeout: 5s
      retries: 5

  caddy:
    image: caddy:latest
    command: caddy reverse-proxy --from $HOST --to app:3000
    ports:
      - 80:80
      - 443:443
      - 443:443/udp
    volumes:
      - ./caddy:/data/caddy
    environment:
      - HOST=${HOST}

L’application fonctionne avec la base de données PostgreSQL et Caddy pour le reverse proxy.

En synthèse

DocuSeal n’est pas juste une alternative économique. C’est une remise en question du modèle SaaS appliqué à la signature électronique. Pour les équipes techniques, les startups ou les entreprises sensibles à la confidentialité, c’est une option crédible, robuste et alignée avec les pratiques modernes d’auto-hébergement (lien vers GitHub).

Karakeep sur NAS Synology : archivez et retrouvez n’importe quelle page web

Par : Fx
2 avril 2026 à 07:00
karakeep 800 - Karakeep sur NAS Synology : archivez et retrouvez n'importe quelle page web

Aujourd’hui, je vous propose un guide complet pour installer Karakeep sur votre NAS Synology. Karakeep est un gestionnaire de signets open source qui va bien plus loin que vos favoris de navigateur : il sauvegarde le contenu complet des pages web, prend des captures d’écran, extrait le texte intégral et l’indexe dans un moteur de recherche interne. En clair, même si une page disparaît ou change du tout au tout, vous pouvez toujours retrouver l’information. Entrons directement dans le vif du sujet…

karakeep 800 - Karakeep sur NAS Synology : archivez et retrouvez n'importe quelle page web

Synology et Karakeep

Karakeep (anciennement Hoarder) est un projet open source qui a rapidement gagné en popularité depuis son lancement en 2024. L’interface est moderne, il dispose d’une extension navigateur pour Chrome et Firefox, d’une application mobile iOS et Android, et d’une recherche full-text sur tout le contenu archivé.

Voici ce qu’il sait faire :

  • Sauvegarde de liens, notes et images ;
  • Archivage complet des pages via Monolith (page sauvegardée dans un fichier HTML autonome) ;
  • Archivage automatique des vidéos via yt-dlp (YouTube, Vimeo, etc.) ;
  • OCR sur les images pour en extraire le texte ;
  • Surligner et annoter des passages de vos pages archivées ;
  • Tag automatique par IA (local via Ollama ou une API externe) ;
  • Ingestion RSS automatiquement ;
  • Moteur de règles pour automatiser la gestion de vos signets ;
  • Importation depuis Chrome, Pocket, Linkwarden, Omnivore, Tab Session Manager ;
  • Synchronisation avec les favoris navigateur via Floccus ;
  • SSO, mode sombre…

karakeep - Karakeep sur NAS Synology : archivez et retrouvez n'importe quelle page web

L’installation repose sur 3 conteneurs qui travaillent ensemble :

  • karakeep : l’application principale (interface web + API)
  • chrome : un navigateur headless qui capture les pages
  • meilisearch : le moteur de recherche qui indexe tout le texte

Installer sur un NAS Synology

Pour cette installation, j’ai simplement suivi le tuto officiel et opéré à quelques adaptations simple.

Préparation des dossiers

  1. Ouvrez File Station
  2. Allez dans le dossier docker
  3. Créez un sous-dossier nommé Karakeep
  4. Dans ce dernier, créez 2 sous-dossiers : data et meilisearch

Création du conteneur Docker

  1. Ouvrez Container Manager
  2. Allez dans ProjetCréer
  3. Renseignez les informations suivantes :
    • Nom du projet : karakeep
    • Chemin : docker/Karakeep
    • Source : Créer un fichier docker-compose.yml

Collez ensuite le contenu suivant :

services: 
  web:
        image: ghcr.io/karakeep-app/karakeep:release
        restart: unless-stopped
        volumes:
            - ./data:/data
        ports:
            - 3008:3000
        environment:
            NEXTAUTH_SECRET: dCACHEMP9qL4nR8wZ1yA5bC3eF6hJ0tU # A modifier
            MEILI_MASTER_KEY: sYnOlogy5aS8dF3gH7jK1lZ4xC6vB0nM # A modifier
            NEXTAUTH_URL: http://192.168.1.100:3008
            MEILI_ADDR: http://meilisearch:7700
            BROWSER_WEB_URL: http://chrome:9222
            DATA_DIR: /data
            CRAWLER_STORE_PDF: "true" # A retirer si vous ne souhaitez pas de PDF
        depends_on:
            - chrome
            - meilisearch
  chrome:
      image: gcr.io/zenika-hub/alpine-chrome:124
      restart: unless-stopped
      command:
          - --no-sandbox
          - --disable-gpu
          - --disable-dev-shm-usage
          - --remote-debugging-address=0.0.0.0
          - --remote-debugging-port=9222
          - --hide-scrollbars
  meilisearch:
      image: getmeili/meilisearch:v1.37.0
      restart: unless-stopped
      volumes:
          - ./meilisearch:/meili_data
      environment:
          MEILI_MASTER_KEY: sYnOlogy5aS8dF3gH7jK1lZ4xC6vB0nM # A modifier
          MEILI_NO_ANALYTICS: "true"

Avant de cliquer sur Suivant, prenez quelques instant pour personnaliser :

  • NEXTAUTH_URL : http://192.168.1.100:3008 (adresse IP de votre NAS)
  • NEXTAUTH_SECRET (en rouge) : chaîne de caractères aléatoires pour sécuriser votre installation
  • MEILI_MASTER_KEY (en bleu) : chaîne de caractères aléatoires identique dans les services web et meilisearch

Une fois les valeurs ajustées, cliquez sur Suivant puis sur Effectué. Container Station va télécharger les 3 images (cela peut prendre quelques minutes selon votre connexion) puis démarrer les conteneurs…

Première connexion

Ouvrez un onglet dans votre navigateur et rendez-vous sur : http://AdresseIPduNAS:3008

karakeep - Karakeep sur NAS Synology : archivez et retrouvez n'importe quelle page web

Cliquez sur le Sign up pour créer votre premier compte. Renseignez une adresse e-mail et un mot de passe, puis connectez-vous. Vous pourrez changer pour avoir une interface en français 🙂

Bloquer les inscriptions

Une fois votre compte créé, il est vivement conseillé de désactiver la création de nouveaux comptes. Pour cela, ajoutez simplement la ligne suivante dans la section environment du service web : DISABLE_SIGNUPS: "true"
Redémarrez le projet depuis Container Station pour appliquer le changement.

Installer l’extension navigateur

Pour sauvegarder une page en un clic depuis Chrome ou Firefox, installez l’extension officielle Karakeep :

Lors de la première utilisation, l’extension vous demande l’adresse de votre instance (http://AdresseIPduNAS:3008) ainsi que vos identifiants. Après ça, il suffit de cliquer sur l’icône dans la barre pour archiver n’importe quelle page.

En synthèse

Karakeep est une solution intéressante et activement développée pour ne plus jamais perdre une information glanée sur le Web. L’installation sur un NAS Synology ne prend que quelques minutes avec Container Station… Le résultat est une application fluide, interrogeable avec son moteur de recherche, accessible depuis n’importe quel navigateur ou téléphone. Si vous avez un NAS QNAP, Asustor, TerraMaster ou Ugreen, sachez que la configuration présentée ci-dessus fonctionnera également sans modification 😉

❌
❌