Tutoriel Traefik Manager : installez cette interface web open source avec Docker Compose pour gérer votre reverse proxy Traefik (routes, certificats, config).
Votre Nextcloud sait tout de vous. L'admin du serveur (vous, ou pire, quelqu'un d'autre) peut ouvrir n'importe quel fichier stocké dessus, parce que le chiffrement de bout en bout reste une option planquée dans un plugin.
C'est pourquoi
Hoodik
, un projet de Tibor Hudik, prend le problème à l'envers. Parce que chez lui, le chiffrement, ce n'est pas une case à cocher, c'est l'architecture au complet.
Grâce à sa solution, vos fichiers sont chiffrés dans votre navigateur, avant même de partir sur le réseau, et à aucun moment le serveur ne voit vos fichiers en clair, ni ne reçoit les clés de chiffrement.
Votre clé privée ne quitte donc pas votre machine, et comme ça, même une intrusion sur le serveur ou un vol ne livrera jamais vos fichiers en clair.
L'interface web, sobre et sans fioritures
Et là où beaucoup d'outils chiffrés deviennent pénibles à l'usage, celui-ci garde les trucs du quotidien super pratiques. Y'a du partage entre comptes avec des rôles (lecture, édition, co-propriétaire), des notes Markdown chiffrées avec historique de versions, et même des aperçus photo et vidéo sans rien déchiffrer côté serveur, HEIC de l'iPhone compris.
La recherche fonctionne aussi alors que le serveur ne voit rien… En fait, votre navigateur découpe les noms de fichiers en petits morceaux, les hashe, et le serveur ne compare que ces empreintes, et jamais de texte en clair. Quant au partage public, la clé de déchiffrement voyage dans le fragment de l'URL, cette partie après le # que votre navigateur n'envoie jamais au serveur.
Au niveau de la crypto, le boulot se divise en deux, il y a d'un côté une paire RSA 2048 qui ne sert qu'à faire circuler les clés, et de l'autre, AEGIS-128L qui chiffre vos données, calculé en direct par le navigateur grâce à WebAssembly (du code quasi natif quoi...). Et avant que vous leviez un sourcil sur ce cipher au nom de Pokémon, AEGIS-128L est finaliste de CAESAR, un concours international de crypto, et est en cours de standardisation à l'IETF. Vous pouvez par exemple le retrouver implémenté dans
libsodium
. C'est du sérieux, donc.
L'autre bonne surprise, c'est le poids plume de l'app. Le serveur est écrit en Rust (Actix-web) avec un front en Vue 3 et il tourne autour de 20 Mo de RAM au repos, alors que votre Nextcloud réclame ses 200 à 500 Mo pour afficher 3 photos de vacances.
Hoodik est dispo sous la forme d'une image docker pour AMD64 et ARM donc vous pouvez l'installer sur n'importe quoi, un
Raspberry Pi
, un vieux NAS, un vieux PC, ce que vous voulez...
Pour vos téléphones, il y a également des applications Android et iOS dont le chiffrement tourne en Rust compilé dans l'appli elle-même (et pas une page web déguisée en application, on a assez donné...). Par contre elles passent en payant après 30 jours d'essai, sans tarif affiché publiquement sur le site... c'est le modèle économique du projet.
Autrement, c'est sous licence Creative Commons, le code est dispo sur
GitHub
, mais par contre notez bien que l'usage commercial est interdit sans l'accord de l'éditeur. Ajoutez à ça un projet encore jeune et aucun audit de sécurité indépendant publié, contrairement à
Cryptomator
qui est en GPLv3 et audité. Après ma comparaison s'arrête là par contre, parce que Cryptomator chiffre par-dessus un cloud existant alors que Hoodik c'est vous qui l'hébergez.
Quoi qu'il en soit, pour votre dossier de photos de famille, vos sauvegardes ou vos documents sensibles, le compromis se défend largement. Et si vous voulez explorer d'autres pistes, jetez un œil à
OpenCloud
pour du Nextcloud-like allégé, ou à
Picocrypt
pour chiffrer des fichiers à l'unité.
Allez, y'a plus qu'à ressusciter le vieux NAS qui prend la poussière et suivre
le guide d'installation
pour lancer votre docker compose up.
On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de
Linuxserver.io
a pondu un truc super pour ça.
Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel.
Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session jetable qui est totalement coupée de votre vraie machine. Et comme ça, si ça part en couille, vous butez le conteneur et on n'en parle plus.
Voilà, ça se présente juste comme une page HTTPS avec un navigateur dedans. Et comme c'est LinuxServer qui maintient l'image, vous êtes tranquilles parce que c'est du sérieux.
L'avantage d'avoir ce truc, c'est qu'un Firefox en conteneur ne voit ni votre répertoire personnel, ni vos cookies, ni vos sessions Google, ni vos extensions, absolument rien, il est totalement isolé. Donc si un site tente un drive-by download ou un exploit navigateur, eh bien en principe les dégâts resteront coincés dans le conteneur. Et le simple fait de le redémarrer remettra tout à 0.
Attention quand même, un conteneur, ce n'est pas une machine virtuelle. Une vulnérabilité au niveau du noyau pourrait en théorie s'en échapper. Mais c'est pas le genre d'attaque qui se fait avec juste un clic douteux sur une page web.
Les chercheurs en sécu s'en servent pour ouvrir des pièces jointes chelou, les marketeux pour
jongler avec 12 comptes ad sans cookie cross-tracking
, et les paranos dans mon genre pour cliquer sur les liens des mecs bizarres de Discord sans rien flinguer chez eux..
Après y'a des petits inconvénients. Je pense aux perfs graphiques qui prennent une claque par rapport à un Firefox natif ou encore l'audio qui transite par le pipeline du navigateur, du coup ça crachote parfois sur les vidéos lourdes. Le copier-coller marche, mais en passant par la section presse-papiers de la barre latérale
Selkies
, pas en direct. Et la persistance ne tient que si vous mappez le volume /config comme il faut, sinon vos onglets et vos bookmarks gicleront dès que le conteneur sera recréé (à la première mise à jour d'image, typiquement).
Côté vie privée c'est plutôt une qualité mais pour un usage quotidien, ça peut devenir relou.
Installation en une commande
L'image officielle, c'est lscr.io/linuxserver/firefox:latest. Elle tourne sur Selkies depuis juin 2025 (avant c'était KasmVNC) et démarre en Wayland par défaut depuis mars 2026. Maintenant, si un site part en vrille à cause de ça, vous ajoutez le paramètre PIXELFLUX_WAYLAND=false à la commande Docker et vous serez de retour en X11.
Le --shm-size=1gb, c'est la
mémoire partagée de Docker
et vous n'y couperez pas, désolé. Si vous le zappez, YouTube comme les sites un peu lourds vous planteront le navigateur. Le port 3001, c'est l'accès HTTPS, avec un certificat auto-signé qui fera râler votre Firefox principal (c'est normal, faut l'accepter). Y'a aussi un port 3000, mais lui c'est du HTTP en clair, à réserver derrière un reverse proxy genre SWAG et rien d'autre.
Ensuite, direction https://localhost:3001/ et un joli Firefox vous attend. Notez que par défaut, il n'y a AUCUNE authentification. Personne ne vous demande rien, alors si vous voulez l'exposer sur votre réseau, définissez bien un CUSTOM_USER et PASSWORD pour activer le basic auth avant qu'un petit malin de votre réseau ne tombe dessus.
La version docker-compose, plus propre
Envie d'un setup versionnable, que vous pouvez reproduire ailleurs sans réfléchir ? Le compose fait ça mieux :
Ensuite, un docker compose up -d et roulez jeunesse. Le volume ./firefox-config conserve votre profil entre deux redémarrages avec bookmarks, extensions installées depuis le store Mozilla, tout reste en place.
Et si vous avez envie de repartir de zéro, on met le dossier à la poubelle, on relance, et voilà. Et pour glisser des outils tiers dans le conteneur (filezilla, un éditeur, ce genre de bidule), [proot-apps install](https://github.com/linuxserver/proot-apps) les posera dans $HOME, où ils survivront aux mises à jour de l'image.
Le hardening qu'il faut absolument activer
Maintenant, le piège que la doc évoque du bout des lèvres et qui mérite d'être écrit en gros c'est que l'interface web embarque un
terminal avec sudo passwordless
. Traduction : quiconque accède à votre Firefox conteneurisé devient root dans le conteneur en deux clics. Exposez ça sur votre réseau, ou pire sur Internet, sans durcir le machin, et vous ouvrez un boulevard.
La parade tient en une variable : **HARDEN_DESKTOP=true**, qui pose les principaux verrous d'un coup. Ça coupe sudo, ça vire les terminaux, et ça bloque xdg-open et exo-open, qui pourraient lancer des trucs hors conteneur. Vous pouvez empiler ça avec HARDEN_OPENBOX=true par-dessus, histoire de neutraliser les raccourcis clavier dangereux genre Alt+F4, de désactiver le clic droit et de masquer le bouton de fermeture. Firefox reste parfaitement utilisable, mais impossible de s'évader pour faire mumuse avec le système derrière.
Et pour une exposition sur Internet, le basic auth CUSTOM_USER/PASSWORD ne suffira pas car c'est trop léger. Moi ce que je vous recommande, c'est de coller le tout derrière un
reverse proxy SWAG
avec une vraie couche OAuth2 ou Authelia. Le basic auth, gardez-le pour le LAN entre potes ou collègues de confiance, mais pas au-delà.
SealSkin, le bonus qui change tout
SealSkin
, c'est la cerise sur le conteneur ^^. C'est une extension navigateur, dispo pour Chrome et Firefox, qui monte la garde sur votre navigateur principal et détourne ce qui sent mauvais vers le conteneur isolé. Un lien repéré comme suspect ? Hop, il s'ouvre direct dans le Firefox conteneurisé. Pareil pour les téléchargements, qui atterrissent dans le conteneur au lieu de finir sur votre machine.
Du coup,
l'isolation devient un réflexe permanent
au lieu d'un machin que vous activez à la main quand vous y pensez (c'est-à-dire jamais). Seule contrainte par contre, faudra héberger le serveur SealSkin vous-même, et installer l'extension dans votre vrai Firefox. Mais vous verrez, après quelques jours à ce régime, vous aurez du mal à faire autrement.
Et sur tablette ou mobile ?
J'imagine que vous comptiez sur l'ancien tag kasm pour le tactile ? Eh bien c'est raté, puisque LinuxServer l'a déprécié début juillet. En échange, la barre latérale Selkies embarque désormais un trackpad virtuel et un clavier à l'écran, donc de quoi rendre l'interface utilisable depuis un iPad ou un smartphone sans bidouille en plus. On reste loin, c'est vrai, du confort d'un vrai desktop, et taper Ctrl+Tab au doigt c'est toujours la misère, mais pour dépanner ça fait le job.
Et voilà, votre Firefox jetable vit désormais dans son petit conteneur, bien au chaud. Comme ça, le prochain lien douteux, vous l'ouvrirez sans trembler... pour tester des sites au calme, difficile de trouver mieux, je pense.
A New DIY NAS Software Challenger! But Does FygoOS Deserve Your Data? Fygo OS is a relatively new NAS operating system aimed at users who want to build their own storage server without relying on a traditional turnkey NAS brand or a more technical platform such as TrueNAS, Unraid or OpenMediaVault. It runs on x86 […]
Excalidraw est un outil de tableau blanc collaboratif virtuel qui permet de créer facilement des schémas à l’aspect d’un dessin à la main. La solution est open source et monte en puissance. Souvent comparée à des géants comme Miro ou FigJam, Excalidraw possède plusieurs atouts : open source, gratuit, autohébergeable et simplicité d’utilisation. Grâce à son style visuel unique, Excalidraw s’est rapidement imposé comme un outil incontournable pour le brainstorming, les schémas techniques ou les wireframes low-fidelity.
Excalidraw
Excalidraw est un tableau blanc collaboratif virtuel permettant de créer des diagrammes avec un rendu “dessiné à la main”. Contrairement aux outils classiques très corporate, Excalidraw mise volontairement sur un aspect croquis qui rend les idées plus accessibles et moins figées.
Le projet est entièrement open source et son code est disponible sur GitHub. Avec plus de 126 000 étoiles, il fait partie des projets open source les plus populaires dans la catégorie « Productivité et Collaboration ».
Pourquoi Excalidraw plaît autant ?
Le succès d’Excalidraw repose sur une philosophie simple : réduire au maximum la friction entre l’idée et sa représentation visuelle. L’interface est minimaliste, sans surcharge de fonctionnalités. En quelques secondes, il est possible de dessiner des schémas d’architecture, diagrammes techniques, cartes mentales, organigrammes, etc.
Le rendu « dessiné à la main » apporte un côté plus humain et spontané, qui tranche avec la rigidité des outils plus traditionnels.
Principales fonctionnalités
Même si Excalidraw paraît volontairement simple, il propose de nombreuses fonctionnalités très utiles :
Canvas infini ;
Collaboration en temps réel ;
Chiffrement de bout en bout ;
Sauvegarde locale automatique ;
Export PNG, SVG et JSON ;
Fonctionnement hors ligne (PWA) ;
Dark mode ;
Bibliothèques de formes ;
Support des images ;
Annuler / Rétablir ;
Partage via lien…
Il est bien entendu possible d’importer également plusieurs formats différents dans l’outil.
Excellent outil pour les développeurs
Excalidraw est très apprécié des développeurs et des équipes Tech. Pourquoi ? Parce qu’il permet de créer rapidement des schémas d’architecture lisibles sans passer par des outils lourds comme Visio ou Lucidchart. A noter qu’il y a également un package React permettant d’intégrer Excalidraw dans vos propres applications.
Gratuit, open source et auto-hébergeable
C’est certainement l’un des plus gros atouts d’Excalidraw. La version de base est entièrement gratuite et ne nécessite aucune création de compte. Les dessins sont sauvegardés directement dans le navigateur.
Pour les utilisateurs avancés, il est possible de :
Auto-héberger sa propre instance Excalidraw ;
Intégrer l’éditeur dans une application ;
Déployer une instance via Docker, y compris sur un NAS.
Quelques limites
Même si l’outil est excellent, il possède aussi quelques limites :
Moins adapté aux diagrammes ultra-précis ;
Gestion multi-pages limitée ;
Certaines fonctionnalités avancées réservées à Excalidraw+.
Pour des besoins très avancés en gestion de projets collaboratifs, Miro ou FigJam restent souvent plus complets. Mais pour du brainstorming rapide, de la documentation technique ou des maquettes, Excalidraw offre probablement l’un des meilleurs rapports simplicité/efficacité du marché.
En synthèse
Excalidraw réussit quelque chose de rare : rendre le dessin technique simple, rapide et agréable. Son approche open source, son style « croquis à la main », sa gratuité et ses possibilités d’auto-hébergement en font une alternative intéressante face aux solutions SaaS traditionnelles.
Découvrez Apple Container, l'outil open source pour exécuter des conteneurs Linux sur macOS : installation, commandes, équivalent Compose et clients GUI.
Microsoft vient de lâcher un truc qui va faire plaisir à tous ceux qui bidouillent fort des conteneurs Linux depuis leur machine Windows. Ça s'appelle WSL Containers (WSLC pour les intimes, et pas WSL 3) et l'objectif c'est de faire tourner des conteneurs Linux nativement sous Windows sans avoir à passer par des outils tiers du genre Docker.
Pour en profiter, tapez la commande suivante :
wsl --update --pre-release
Cela mettra à jour votre WSL en version 2.9.3 ou supérieure et vous obtiendrez alors une toute nouvelle commande : wslc.
WSLC est un alias qui lance en réalité container.exe et qui permet de gérer tout le cycle de vie d'un conteneur Linux avec des commandes très classiques : run, stop, build, tag, push, pull, prune. Voici un vrai exemple tiré de la doc de Microsoft :
Ce qu'on lance là c'est bien une image en provenance de
LinuxServer
dont je vous ai déjà parlé, et comme vous pouvez le voir, vous ne serez pas dépaysé si vous connaissez déjà un peu Docker.
Et la cerise sur le gâteau, c'est le support GPU. Vous collez --gpus all sur un conteneur PyTorch et CUDA répond présent, sans config tordue. C'est énorme pour ceux qui font du dev IA localement sous Windows. Vous allez enfin pouvoir entrainer ou inférer dans un conteneur propre sans avoir à vous taper avec les drivers.
Microsoft pousse aussi des SDK (packages NuGet pour C, C++ et C#) histoire de piloter tout ça depuis vos applis si ça vous amuse.
Maintenant, vous vous interrogez sûrement sur les perfs de WSLC et c'est bien normal. De ce que j'ai lu, comme WSLC passe par VirtioFS pour son système de fichiers par défaut, les accès seraient 2 fois plus rapide. J'emploie le conditionnel car personne n'a encore réalisé de benchmark indé mais si ça se vérifie, ça va être énorme tant le partage de fichiers entre Windows et un conteneur Linux c'était la misère. Là vos builds vont respiiiiirer !!!
Et pour calmer les inquiets : Docker Desktop, Podman et Rancher Desktop ne disparaissent pas, rassurez-vous. Microsoft précise même que ces outils profiteront de changements de bas niveau apportés par WSLC. C'est donc une fondation, et absolument pas une déclaration de guerre.
C'est pour le moment dispo en public preview, donc attendez-vous à quelques bugs, et la mise à dispo pour tous, ce sera normalement pour cet automne. En tout cas, je suis content de voir cette évolution. Ça arrive pile au moment où
Apple fait pareil de son côté
, ce qui en dit long sur où va le vent. Donc, si vous aviez décroché de WSL, c'est peut-être le moment de
remettre le nez dedans
.
À tester sur une machine de dev, pas en prod, hein ! Et vous me direz si le VirtioFS tient ses promesses.
Monter une vraie IA à la maison, c'est vite une galère. Vous achetez une super machine puis vous collez dessus toute votre liste au père Noël (Chat local, reco vocale, génération d'image, RAG et compagnie) et vous voilà à empiler des dockers à n'en plus finir. Eh bien Light Heart Labs en a eu marre de ces bricolages et nous a pondu Dream Server, un outil qui câble tout ce petit monde à votre place !
Une seule commande et c'est parti mon kiki (Linux et macOS) :
Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
git clone https://github.com/Light-Heart-Labs/DreamServer.git
cd DreamServer
.\install.ps1
Ça va lancer le script qui va ensuite tout paramétrer tout seul et choisir le modèle d'IA qui collera le plus à votre matériel, et cela que vous ayez une RTX 4090, un Mac M4 avec mémoire unifiée ou encore une puce AMD Strix Halo voire un vieux PC sans GPU.
Edit : un lecteur m'a remonté un piège si vous êtes sous Linux configuré en français (ou n'importe quelle locale qui écrit les décimales avec une virgule). Le script génère tout seul les valeurs de votre fichier .env en suivant le format de nombres de votre système, et il vous colle des 16,0 au lieu de 16.0. Du coup l'install se vautre avec une erreur dans le genre COMFYUI_CPU_LIMIT: expected number, got '16,0'. La parade, confirmée par un des auteurs, c'est de relancer l'installeur en forçant la locale C (celle qui met des points à la place des virgules) :
LC_ALL=C ./install.sh
Ensuite, pendant que le LLM se télécharge à fond les ballons, un autre petit modèle de 1,5 milliards de paramètres en backup afin que vous puissiez quand même "discuter" avec votre Dreamserver.
Le rôle de Dreamserver c'est donc juste de prendre toutes les briques de l'IA pour vous en faire un truc clé en main.
Open WebUI
pour le chat, llama-server pour l'inférence, Whisper et Kokoro pour la voix, ComfyUI pour les images, Qdrant pour le RAG, SearXNG pour la recherche web sans mouchard, et bien sûr
n8n
pour brancher tout ça à vos automatisations.
Et une fois que c'est en route, suffit de lancer la commande dream et là vous pourrez tout faire.
Par exemple dream status pour visualiser l'état des services et du GPU, dream model swap T3 pour changer de "palier" sur votre matos, dream enable n8n pour activer une extension ou encore dream mode hybrid pour avoir de l'inférence en local avec possibilité de basculer sur une IA dans le cloud via une API.
Dreamserver reste un orchestrateur, et pas un moteur IA magique, donc si vous adorez tout assembler vous-même, vous n'avez clairement pas besoin de ça. Par contre, si vous vous en foutez, et que vous voulez juste votre IA qui tourne ce soir, ça vous fera gagner des heures de bidouille.
Faut dire qu'à mesure que l'IA devient une infrastructure de base, dépendre à 100% d'un abonnement cloud qui peut tripler ses tarifs ou couper votre accès du jour au lendemain, ça craint un peu. Donc je pense qu'on est tous bien contents d'avoir des solutions clé en main comme celle-ci.
Découvrez Maintenant, un outil de supervision open source tout-en-un pour surveiller les conteneurs, les services Web, les certificats et les tâches cron.
Dans l’univers de la signature électronique, un acteur s’est largement imposé : DocuSign. Mais ce dernier coûte très cher… Entre abonnements mensuels, limitations d’enveloppes et frais annexes (SMS, vérification d’identité, support), la facture peut grimper très vite. Face à ce modèle, DocuSeal propose une approche radicalement différente : open source, gratuit et auto-hébergeable.
DocuSeal : le DocuSign 100% gratuit
Lancée en 2023, DocuSeal est née d’un besoin simple : signer des documents sans abonnement. En quelques semaines, le projet devient une solution complète et aujourd’hui largement adoptée sur GitHub.
Fonctionnellement, DocuSeal couvre l’essentiel (et même plus) :
Transformation de PDF en formulaires interactifs ;
Éditeur drag-and-drop avec 13 types de champs ;
Gestion multi-signataires avec ordre personnalisé ;
Notifications et rappels automatisés ;
Signature mobile fluide ;
Audit complet et vérification des signatures ;
Modèles et envois en masse ;
API complète pour intégration SI…
On est loin d’un simple clone, DocuSeal vise clairement les usages professionnels.
Docker pour faciliter l’auto-hébergement
L’un des points forts de DocuSeal, c’est son déploiement. Une simple commande Docker suffit pour lancer une instance complète. Pas de dépendance complexe, pas de SaaS opaque.
Dans un contexte où la souveraineté des données devient critique, c’est là aussi un sacré avantage.
Zéro coût, zéro limite
Là où DocuSign facture chaque fonctionnalité, DocuSeal adopte un modèle sans friction :
Documents illimités ;
Signataires illimités ;
Stockage illimité ;
Aucun coût caché.
Une petite société peut économiser plusieurs milliers d’euros par an… quelque soit la taille de l’équipe. Tout au plus, il faudra passer par un VPS pour quelques euros par mois. A noter que Docuseal propose sur ses serveurs avec une offre gratuite et une payante. Et contrairement à ce que l’on pourrait penser d’un projet open source récent, DocuSeal affiche déjà un niveau de maturité sérieux avec des certifications ISO 27001, SOC 2, HIPAA, ainsi que la conformité au RGPD.
Docker
La façon la plus simple pour profiter de DocuSeal, c’est très certainement l’utilisation avec Docker… par exemple sur un NAS. L’éditeur fournit un docker-compose.yml complet et facile à adapter.
L’application fonctionne avec la base de données PostgreSQL et Caddy pour le reverse proxy.
En synthèse
DocuSeal n’est pas juste une alternative économique. C’est une remise en question du modèle SaaS appliqué à la signature électronique. Pour les équipes techniques, les startups ou les entreprises sensibles à la confidentialité, c’est une option crédible, robuste et alignée avec les pratiques modernes d’auto-hébergement (lien vers GitHub).
UGREEN NAS and OpenClaw – How to Install it, Setup Your AI and Understanding The Risks! OpenClaw has now moved from a manual self-hosted setup into the UGREEN UGOS Pro App Center, making it possible to install the assistant gateway directly on supported UGREEN NASync systems rather than building it manually through a VM, terminal […]
Aujourd’hui, je vous propose un guide complet pour installer Karakeep sur votre NAS Synology. Karakeep est un gestionnaire de signets open source qui va bien plus loin que vos favoris de navigateur : il sauvegarde le contenu complet des pages web, prend des captures d’écran, extrait le texte intégral et l’indexe dans un moteur de recherche interne. En clair, même si une page disparaît ou change du tout au tout, vous pouvez toujours retrouver l’information. Entrons directement dans le vif du sujet…
Synology et Karakeep
Karakeep (anciennement Hoarder) est un projet open source qui a rapidement gagné en popularité depuis son lancement en 2024. L’interface est moderne, il dispose d’une extension navigateur pour Chrome et Firefox, d’une application mobile iOS et Android, et d’une recherche full-text sur tout le contenu archivé.
Voici ce qu’il sait faire :
Sauvegarde de liens, notes et images ;
Archivage complet des pages via Monolith (page sauvegardée dans un fichier HTML autonome) ;
Archivage automatique des vidéos via yt-dlp (YouTube, Vimeo, etc.) ;
OCR sur les images pour en extraire le texte ;
Surligner et annoter des passages de vos pages archivées ;
Tag automatique par IA (local via Ollama ou une API externe) ;
Ingestion RSS automatiquement ;
Moteur de règles pour automatiser la gestion de vos signets ;
Importation depuis Chrome, Pocket, Linkwarden, Omnivore, Tab Session Manager ;
Synchronisation avec les favoris navigateur via Floccus ;
SSO, mode sombre…
L’installation repose sur 3 conteneurs qui travaillent ensemble :
karakeep : l’application principale (interface web + API)
chrome : un navigateur headless qui capture les pages
meilisearch : le moteur de recherche qui indexe tout le texte
Installer sur un NAS Synology
Pour cette installation, j’ai simplement suivi le tuto officiel et opéré à quelques adaptations simple.
Préparation des dossiers
Ouvrez File Station
Allez dans le dossier docker
Créez un sous-dossier nommé Karakeep
Dans ce dernier, créez 2 sous-dossiers : data et meilisearch
Création du conteneur Docker
Ouvrez Container Manager
Allez dans Projet → Créer
Renseignez les informations suivantes :
Nom du projet : karakeep
Chemin : docker/Karakeep
Source : Créer un fichier docker-compose.yml
Collez ensuite le contenu suivant :
services:
web:
image: ghcr.io/karakeep-app/karakeep:release
restart: unless-stopped
volumes:
- ./data:/data
ports:
- 3008:3000
environment:
NEXTAUTH_SECRET: dCACHEMP9qL4nR8wZ1yA5bC3eF6hJ0tU # A modifier
MEILI_MASTER_KEY: sYnOlogy5aS8dF3gH7jK1lZ4xC6vB0nM # A modifier
NEXTAUTH_URL: http://192.168.1.100:3008
MEILI_ADDR: http://meilisearch:7700
BROWSER_WEB_URL: http://chrome:9222
DATA_DIR: /data
CRAWLER_STORE_PDF: "true" # A retirer si vous ne souhaitez pas de PDF
depends_on:
- chrome
- meilisearch
chrome:
image: gcr.io/zenika-hub/alpine-chrome:124
restart: unless-stopped
command:
- --no-sandbox
- --disable-gpu
- --disable-dev-shm-usage
- --remote-debugging-address=0.0.0.0
- --remote-debugging-port=9222
- --hide-scrollbars
meilisearch:
image: getmeili/meilisearch:v1.37.0
restart: unless-stopped
volumes:
- ./meilisearch:/meili_data
environment:
MEILI_MASTER_KEY: sYnOlogy5aS8dF3gH7jK1lZ4xC6vB0nM # A modifier
MEILI_NO_ANALYTICS: "true"
Avant de cliquer sur Suivant, prenez quelques instant pour personnaliser :
NEXTAUTH_URL : http://192.168.1.100:3008 (adresse IP de votre NAS)
NEXTAUTH_SECRET (en rouge) : chaîne de caractères aléatoires pour sécuriser votre installation
MEILI_MASTER_KEY (en bleu) : chaîne de caractères aléatoires identique dans les services web et meilisearch
Une fois les valeurs ajustées, cliquez sur Suivant puis sur Effectué. Container Station va télécharger les 3 images (cela peut prendre quelques minutes selon votre connexion) puis démarrer les conteneurs…
Première connexion
Ouvrez un onglet dans votre navigateur et rendez-vous sur : http://AdresseIPduNAS:3008
Cliquez sur le Sign up pour créer votre premier compte. Renseignez une adresse e-mail et un mot de passe, puis connectez-vous. Vous pourrez changer pour avoir une interface en français
Bloquer les inscriptions
Une fois votre compte créé, il est vivement conseillé de désactiver la création de nouveaux comptes. Pour cela, ajoutez simplement la ligne suivante dans la section environment du service web : DISABLE_SIGNUPS: "true"
Redémarrez le projet depuis Container Station pour appliquer le changement.
Installer l’extension navigateur
Pour sauvegarder une page en un clic depuis Chrome ou Firefox, installez l’extension officielle Karakeep :
Lors de la première utilisation, l’extension vous demande l’adresse de votre instance (http://AdresseIPduNAS:3008) ainsi que vos identifiants. Après ça, il suffit de cliquer sur l’icône dans la barre pour archiver n’importe quelle page.
En synthèse
Karakeep est une solution intéressante et activement développée pour ne plus jamais perdre une information glanée sur le Web. L’installation sur un NAS Synology ne prend que quelques minutes avec Container Station… Le résultat est une application fluide, interrogeable avec son moteur de recherche, accessible depuis n’importe quel navigateur ou téléphone. Si vous avez un NAS QNAP, Asustor, TerraMaster ou Ugreen, sachez que la configuration présentée ci-dessus fonctionnera également sans modification