Il est 7h43. Vous ouvrez votre ordinateur. Une alerte clignote. CrowdSec a bloqué 47 connexions. Pi-hole signale des requêtes DNS inhabituelles. Un conteneur a redémarré sans que vous l'ayez lancé.
Est-ce une attaque ? Ou est-ce normal ?
Cette question se pose chaque jour à des milliers d'opérateurs de systèmes auto-hébergés. La mauvaise réponse coûte soit des nerfs (fausse alerte) soit des données (vraie attaque).
Trois signaux qui indiquent une vraie attaque
1. Échecs d'authentification en volume inhabituel. Cinq tentatives SSH échouées le matin — ça peut être un collaborateur qui a oublié son mot de passe. Cinq mille tentatives en une heure depuis 40 adresses IP différentes — c'est une attaque par force brute. CrowdSec reconnaît ce schéma automatiquement et bloque les sources.
2. Trafic sortant vers des destinations inconnues. Votre serveur envoie normalement des données à vos utilisateurs, à vos systèmes de sauvegarde et à des serveurs de mise à jour connus. Si des connexions régulières apparaissent soudainement vers des adresses IP dans des régions inattendues — c'est un signal d'alerte. Surtout si ces connexions se produisent la nuit.
3. Processus que vous n'avez pas lancés. Un script de minage qui sature votre CPU. Un port soudainement ouvert. Un nouvel utilisateur dans la liste. Si quelque chose tourne sur votre système que vous n'expliquez pas — traitez-le comme une menace.
Les trois fausses alertes les plus fréquentes
CrowdSec bloque votre propre IP. Cela se produit surtout si vous avez une IP dynamique et vous connectez mal plusieurs fois. Solution : mettre vos propres sous-réseaux en liste blanche.
Tâches de sauvegarde à une heure inhabituelle. Si votre cron de sauvegarde tourne à 03h00 et que vous lisez les logs à 07h00, vous voyez un pic de charge à un moment où personne ne travaille. Ce n'est pas une intrusion — c'est votre sauvegarde qui fonctionne.
Mises à jour automatiques. Watchtower, apt-cron, images Docker qui se mettent à jour — tout cela génère des connexions réseau, des redémarrages et de brèves pointes de charge.
La règle qui s'applique toujours
Quand vous n'êtes pas sûr que des données ou des identifiants pourraient être compromis : traitez-le comme une vraie attaque. Le coût d'une fausse alerte est une matinée perdue. Le coût d'une vraie attaque ignorée peut être existentiel.
Solutions qui résolvent ce problème