00:00:00Vous avez probablement entendu parler, ou lu au sujet de l'incident de sécurité survenu chez Vercel le 19 avril.
00:00:07Cet épisode ne porte pas sur cet incident. Vous trouverez un lien ci-dessous si vous souhaitez en apprendre davantage à
00:00:13son sujet. Un lien vers cet article officiel. Mais je veux plutôt me concentrer sur une déclaration,
00:00:20une certaine notion que j'ai pu ressentir, voir et lire sur X et d'autres plateformes après cet incident,
00:00:27à savoir qu'il est désormais temps de passer à un VPS et d'utiliser un VPS pour héberger votre application web au lieu d'utiliser
00:00:34Vercel. Et bien sûr, vous pourriez insérer le nom de n'importe quel autre fournisseur d'hébergement géré ici à la place de Vercel,
00:00:41car ils présentent tous les mêmes avantages et inconvénients, en fin de compte.
00:00:48Alors, est-il enfin temps d'utiliser un VPS plutôt qu'un fournisseur géré ?
00:00:54Je pense qu'il y a beaucoup de bonnes raisons d'utiliser un VPS, mais la sécurité n'en fait pas partie. Ce n'est certainement
00:01:01pas l'une d'entre elles. Et il me serait facile de vous dire que vous devriez absolument passer à un VPS,
00:01:08car je viens justement de sortir un cours sur les bases du VPS, où je vous aide à vous lancer
00:01:15avec un VPS, à l'installer, le configurer, renforcer SSH, et faire tourner une application web dessus.
00:01:20Et évidemment, j'ai enregistré et créé ce cours avant que l'incident ne se produise. Donc c'est juste une
00:01:26coïncidence. Et je pourrais maintenant totalement vous dire que vous devriez utiliser un VPS et suivre ce cours.
00:01:32Et évidemment, je veux que vous suiviez ce cours, mais je ne veux pas que vous utilisiez un VPS pour des raisons de sécurité.
00:01:38Il y a des raisons d'utiliser un VPS, je reviendrai dessus, mais la sécurité n'en fait pas partie.
00:01:42Parce que ce que vous devez comprendre, c'est que la sécurité évidemment, et vous le savez probablement,
00:01:48est un sujet complexe. Et lorsque vous utilisez un VPS, vous êtes le facteur problématique. Lorsque vous utilisez un service
00:01:58géré comme Vercel, nous avons vu qu'un employé, dans le cas de cet incident de sécurité chez Vercel, était
00:02:05le problème, si vous voulez l'appeler comme ça, bien que le problème réel était bien sûr la
00:02:09configuration interne, la façon dont certaines choses fonctionnaient à l'intérieur de Vercel et la facilité avec laquelle un utilisateur
00:02:18ou un compte employé compromis pouvait affecter l'ensemble du système. C'était là le vrai problème.
00:02:23Donc, bien sûr, c'est quelque chose dont vous dépendez. Vous dépendez des mesures de sécurité mises en place par
00:02:30votre fournisseur, par Vercel par exemple, évidemment. Mais si vous utilisez un VPS, c'est juste vous.
00:02:38Et soyons réalistes, la sécurité est un sujet compliqué. Dans ce cours que j'ai mentionné, je vous montre comment
00:02:46bien configurer un VPS, comment le renforcer pour que personne d'autre ne puisse s'y connecter via SSH. C'est
00:02:54une étape importante. Je vous montre comment vous assurer que vous avez des mises à jour automatiques des paquets pour que
00:03:00votre logiciel sur le VPS reste à jour, du moins dans la mesure du possible
00:03:07de manière automatisée. Mais bien sûr, la sécurité ne s'arrête pas là. Je veux dire, nous avons des attaques comme les
00:03:12vulnérabilités des composants serveur React que nous avons eues l'année dernière. Nous avons des vulnérabilités comme celle-ci, qui
00:03:18permettraient en fait aux attaquants de prendre le contrôle de votre machine et de la contrôler,
00:03:25d'exécuter du code sur votre machine. Et le seul moyen de se défendre contre cela est de garder vos paquets
00:03:32mis à jour une fois qu'un correctif a été publié pour React et Next.js dans ce cas précis. Et évidemment,
00:03:39ce n'est qu'un exemple. Il y a beaucoup de briques dans une application web et en général dans un
00:03:44système qui fait tourner une application web qui pourrait devenir vulnérable ou où des vulnérabilités pourraient
00:03:49être détectées. Or, si vous utilisiez Vercel, vous obtiendriez en fait une certaine protection automatique de leur part
00:03:58car dès que la vulnérabilité a été découverte, ils ont mis en place des mesures automatisées,
00:04:06une certaine protection grâce à leur service de pare-feu d'application web qui pouvait aider
00:04:12à se défendre contre cette attaque. Cela ne garantissait pas la protection, mais c'était une couche supplémentaire, une couche additionnelle.
00:04:17Donc vous obteniez une certaine protection sans rien faire en cas de cette attaque spécifique lorsque vous utilisez
00:04:24Vercel. Et bien sûr, la même chose aurait pu être vraie pour d'autres fournisseurs. Donc, si quoi que ce soit, la sécurité devient
00:04:31plus facile lors de l'utilisation d'un service géré comme Vercel, malgré le fait qu'ils soient bien sûr toujours vulnérables,
00:04:39comme nous l'avons vu, des attaques comme celle-ci en avril peuvent arriver. Mais avec un VPS, c'est entièrement votre travail.
00:04:47Et cela a bien sûr ses inconvénients. Maintenant, bien sûr, il existe aussi des raisons d'utiliser un VPS,
00:04:56et celles-ci existaient avant cet incident de sécurité car elles n'ont rien à voir avec la sécurité.
00:05:02Et l'une des plus importantes est bien sûr le coût. Un VPS peut être très rentable. Vous pouvez louer un
00:05:10VPS Hetzner pour quelques dollars par mois et vous savez que vous ne paierez que ce
00:05:16montant par mois. Alors qu'avec des fournisseurs gérés comme Vercel, le système de tarification peut être
00:05:24complexe. Et vous pourriez encourir des coûts imprévus. Nous voyons régulièrement des gens poster qu'ils ont été facturés
00:05:34bien plus qu'ils ne l'avaient anticipé. Et c'est pratiquement toujours la faute de ces personnes, ne vous
00:05:39méprenez pas, mais c'est dans une certaine mesure aussi la faute ou délibérément fait par les fournisseurs car ils ont
00:05:46bien sûr une incitation à rendre les choses complexes. Disons-le comme ça. Maintenant, ils ont bien sûr aussi une
00:05:52incitation à avoir des clients satisfaits d'un autre côté. Donc ce n'est pas si simple. Il n'y a pas les
00:05:57méchants et les gentils. Mais bien sûr, avec un VPS, vous pouvez certainement être très rentable
00:06:03et vous savez ce que vous paierez, ce qui est bien sûr génial. Et les chances sont élevées que vous puissiez faire tourner
00:06:11certaines applications web qui pourraient vous coûter des dizaines de dollars, peut-être des centaines de dollars
00:06:17chez un fournisseur géré pour seulement quelques dollars comme 20 dollars ou quelque chose comme ça sur un VPS. C'est
00:06:24absolument possible. Et je dirais que c'est l'un des plus gros avantages et la raison la plus importante
00:06:31de choisir un VPS plutôt qu'un fournisseur géré. Évidemment, ce n'est pas nouveau, mais c'est sur quoi vous
00:06:36devriez vous concentrer, pas sur l'aspect sécurité. Au lieu de cela, vous devriez être conscient du fait que
00:06:41la sécurité sera votre responsabilité et s'accompagne de ses propres défis. Des défis que vous pouvez maîtriser,
00:06:48mais ce sont des défis. Un autre avantage d'un VPS est bien sûr la flexibilité. Vous pouvez effectivement faire
00:06:57n'importe quoi sur un VPS car c'est juste un ordinateur. C'est juste un ordinateur, juste une machine, typiquement avec
00:07:06Linux dessus. Évidemment, vous pouvez aussi louer des VPS avec d'autres systèmes d'exploitation, mais Linux est la valeur par défaut,
00:07:11aussi ce que j'utilise dans mon cours. Et vous pouvez installer sur ce système tout ce que vous voulez. Vous pouvez faire tourner sur
00:07:17ce système tout ce que vous voulez. Pour la plupart, certains fournisseurs, la plupart des fournisseurs bloquent certains ports
00:07:22liés aux emails, mais concernant les flux de travail normaux, les applications normales, vous pouvez vraiment faire n'importe quoi
00:07:28là-bas. Vous pouvez créer de nouveaux utilisateurs. Vous pouvez configurer cela comme vous le souhaitez. C'est votre machine essentiellement,
00:07:33comme si elle était dans votre chambre, dans une certaine mesure. Et bien sûr, avec les fournisseurs gérés,
00:07:40vous êtes limité à ce que le fournisseur supporte. Et un bon exemple que j'ai ici est que Vercel,
00:07:46par exemple, ne supporte pas SQLite. Bien qu'il ne puisse pas être utilisé avec Vercel, nous offrons d'autres
00:07:55solutions de stockage. SQLite n'est pas supporté par Vercel. Donc, si vous construisez une application web
00:08:01et que vous voulez utiliser SQLite comme base de données, ce qui est un excellent choix pour de nombreuses applications web,
00:08:05ce n'est pas juste un jouet de développement. C'est une solution de base de données vraiment prête pour la production, facile à utiliser, facile à configurer,
00:08:11facile à gérer, et donc globalement excellente, mais vous ne pouvez pas juste la construire,
00:08:18la faire tourner localement sur votre machine, puis la déployer telle quelle sur Vercel. Ça ne marche tout simplement pas. Ça marche
00:08:24si vous utilisez un VPS, cependant. Encore une fois, c'est en fait un exemple que j'utilise dans mon cours. Une
00:08:29application que j'ai construite là-bas comme une application de démonstration qui utilise SQLite que vous pouvez juste mettre et faire tourner sur
00:08:36un VPS, juste comme ça. Donc, vous avez beaucoup plus de flexibilité. Encore une fois, l'inconvénient ici est
00:08:43que vous devez avoir la volonté d'apprendre à travailler avec Linux, par exemple. Évidemment,
00:08:51l'IA peut vous aider avec ça. L'assistance IA peut vous aider. C'est bien plus facile maintenant que ça ne l'était par le passé,
00:08:56à mon expérience ou à mon avis, mais vous devez avoir la volonté de plonger dedans.
00:09:01Avec un fournisseur géré, vous poussez généralement simplement votre application sur GitHub et si tout est
00:09:09configuré correctement, il déploiera simplement la version mise à jour et vous n'avez pas besoin de vous soucier
00:09:13de quoi que ce soit. Revenir à des versions antérieures est simple. C'est simple. C'est l'avantage,
00:09:19mais le prix à payer est la limitation. Un VPS a beaucoup de flexibilité, mais le prix à payer est
00:09:25la complexité ou le fait que vous devez avoir la volonté de plonger dedans et d'obtenir les connaissances techniques
00:09:31ou d'entrer dans les détails pour faire fonctionner les choses et pour configurer les choses correctement. C'est toujours un compromis.
00:09:38Mais, et c'est vraiment important pour moi ici, je pense que l'IA aide beaucoup ici. Pas seulement, bien sûr,
00:09:45avec la génération de code et tout ce genre de choses, mais cela peut vraiment aider à configurer un VPS,
00:09:51à comprendre les commandes Linux, à invoquer toutes ces chaînes de commandes Linux complexes où vous
00:10:00avez une commande complexe et vous faites passer la sortie dans une autre. C'est la partie où je peux
00:10:07rendre le travail avec un VPS tellement, tellement plus facile. Et par conséquent, je pense qu'utiliser un VPS pour héberger
00:10:14une application web, pour faire tourner certains flux de travail ou pour faire tourner un agent IA comme OpenClaw,
00:10:20est définitivement une bonne idée. Dans beaucoup de situations, vous devez juste connaître le prix, qui est
00:10:25un peu plus de complexité et pour vous, la volonté d'apprendre comment les choses fonctionnent et comment configurer les choses.
00:10:32Les fournisseurs gérés, c'est génial. Si vous voulez la facilité d'utilisation, vous paierez de l'argent pour ça. Comme toujours dans la vie,
00:10:37la facilité d'utilisation coûte généralement de l'argent, mais oui, c'est plus simple. C'est aussi simple que ça. Si la sécurité
00:10:45est ce que vous regardez, oui, allez vers un fournisseur géré. Ce n'est définitivement pas plus facile et pas plus
00:10:51sûr lorsque vous utilisez un VPS.