Créer votre système de sécurité ultime sur Raspberry Pi

Si vous avez déjà rêvé d’avoir un seul appareil à brancher pour sécuriser votre connexion et protéger votre vie privée, vous êtes au bon endroit. Aujourd’hui, je vais vous montrer comment transformer votre Raspberry Pi en un système de sécurité ultime, que vous soyez chez vous ou en déplacement.

Des services comme WireGuard, Pi-hole et Unbound peuvent être combinés pour créer une solution de sécurité sur un Raspberry Pi. Ils peuvent être liés pour fonctionner ensemble via des conteneurs Docker, ce qui rend l’installation pratique et portable.

Commençons par une brève explication des raisons pour lesquelles vous voudriez vous lancer dans cette aventure et comment cela fonctionne. Ensuite, je vais vous guider pour tout installer et tester.

Si vous débutez avec Raspberry Pi ou Linux, j’ai quelque chose qui peut vous aider !
Téléchargez ma fiche mémo des commandes Linux gratuitement – c’est un guide de référence rapide avec toutes les commandes essentielles dont vous aurez besoin utiliser votre Raspberry Pi. Cliquez ici pour l’obtenir gratuitement !

Pourquoi créer une solution de sécurité avec un Raspberry Pi ?

Avec une solution de sécurité Raspberry Pi, vous pouvez chiffrer vos requêtes internet, bloquer les publicités et accélérer la navigation. Cela fonctionne que vous soyez chez vous ou non, tant que votre appareil est connecté à votre Pi.

Il existe différentes façons d’atteindre cet objectif. Mais si vous êtes comme moi, vous ne voulez pas de solutions d’entreprise compliquées chez vous, juste quelque chose de pratique.

C’est pourquoi le Raspberry Pi est parfait pour cette tâche :

• Son système d’exploitation prend en charge de nombreux outils réseau.
• Il fonctionne en permanence tout en consommant très peu d’électricité.
• Il prend très peu de place.
• Il est peu coûteux par rapport aux appareils réseau dédiés.

Utiliser le Raspberry Pi pour la confidentialité était la première raison pour laquelle je l’ai acheté, et c’est pourquoi j’adore utiliser le Raspberry Pi pour des projets réseau.

Logiciels clés pour une solution de sécurité Raspberry Pi

Quand je parle de solution de sécurité, je veux dire un ensemble de logiciels qui vous protégeront pendant que vous utilisez internet. Cela peut signifier différentes choses pour différentes personnes, mais pour garder ce tutoriel simple, je vais donner un exemple avec les trois outils ci-dessous.

Expliquons brièvement ce que chaque composant accomplira dans notre solution.

WireGuard

Un serveur VPN auto-hébergé est la clé de cette configuration. Il vous permet de vous connecter à votre réseau domestique lorsque vous n’êtes pas chez vous. Pour notre solution de sécurité, nous allons utiliser WireGuard, un protocole VPN rapide et léger.

Pour en savoir plus sur les concepts impliqués, consultez notre guide d’installation de WireGuard. Dans ce guide, cependant, je vais vous montrer une autre façon de l’installer avec d’autres outils.

Pi-Hole

Pi-hole est un bloqueur de publicités gratuit et open source. En plus des publicités, Pi-hole bloque également les traqueurs pour garder vos données privées, même sur les appareils mobiles où le blocage est plus difficile. Un effet secondaire agréable est une navigation web plus rapide, car ces éléments n’ont même pas la chance de se charger.

Si vous êtes curieux d’en savoir plus sur son fonctionnement, consultez notre guide sur Pi-hole ici. J’utiliserai une méthode d’installation différente pour l’intégrer dans notre solution, donc ce sera un processus différent de celui décrit dans l’article lié.

Unbound

Vous ne voulez pas que votre FAI espionne vos habitudes de navigation, que des entreprises technologiques vendent vos données ou que des attaquants interceptent votre trafic ? Une réponse à ces problèmes est de créer votre propre serveur DNS. Nous avons couvert des concepts similaires dans un autre article (Installer Cloudflared sur Raspberry Pi).

Mais dans ce tutoriel, nous allons installer Unbound. Unbound est un serveur DNS auto-hébergé qui vous permettra de mettre en cache vos requêtes DNS (masquant ainsi une partie de votre trafic) tout en les chiffrant.

Tout combiner

Résumons comment tous ces éléments fonctionnent ensemble. Vous vous connectez à WireGuard pour accéder à votre réseau domestique et à tous ses avantages. Lorsque vous utilisez internet, Pi-hole transmet vos requêtes de trafic à Unbound pour les cacher des regards indiscrets. Pendant ce temps, Pi-Hole bloquera toutes les publicités ou traqueurs qui essaient d’espionner.

Plutôt sympa, non ?

Exigences pour une solution de sécurité Raspberry Pi

Avant de vous montrer comment mettre en place cette solution de sécurité, confirmons que vous avez le matériel et les logiciels nécessaires.

Matériel

• Raspberry Pi – Je recommande le Pi 4 ou le Pi 5.
  (Cela pourrait fonctionner sur le Pi 3B+, mais il pourrait être trop lent.)
• Mémoire – 2 Go ou plus recommandé.
• Stockage – 32 Go recommandé (voici ma carte SD préférée).
• Connexion Ethernet – Câblée pour la vitesse et la stabilité. Le Wi-Fi n’est pas une bonne idée ici.

Logiciel

• Système d’exploitation – Installez un OS léger, comme Raspberry Pi OS Lite. Cela consacrera plus de ressources système au traitement du trafic aussi rapidement que possible.
  
  Pour ce guide, j’ai installé Raspberry Pi OS Lite en mode headless (suivez notre guide ici). Cela vous permettra de copier et coller des commandes tout en suivant depuis votre PC.
  
  (Si vous devez avoir une interface graphique, ce guide fonctionnera toujours sur un système de bureau.)
  
• Docker – Ce gestionnaire de conteneurs nous permet de déployer l’ensemble de la configuration comme une seule solution intégrée.
  
  Suivez notre guide pour installer la dernière version de Docker (qui inclut Docker Compose) et revenez ici quand vous avez terminé.
  
  (Pour ceux d’entre vous sur des bureaux, vous pouvez installer Portainer, en anglais, si vous préférez travailler depuis une interface graphique.)

Comment créer la solution de sécurité avec des conteneurs

Bien sûr, vous pourriez tout installer sur du matériel nu. Dans ce guide, cependant, je vous montre comment le faire avec Docker à la place.

Utiliser des conteneurs nous permet de surmonter toutes les exigences de dépendance sur le Raspberry Pi et nous permet de combiner notre solution dans un seul fichier texte.

En résumé, cette approche rend les choses faciles, portables et reproductibles.
Les grandes étapes d’installation sont :

• Créer un fichier Docker Compose pour définir les logiciels nécessaires.
• Modifier le fichier d’environnement pour définir des secrets comme des mots de passe.
• Déployer le conteneur pour mettre la solution de sécurité en ligne.

Créer un fichier Docker Compose

Tout d’abord, nous allons créer un grand fichier de configuration Docker avec tous nos services.

• Dans votre dossier utilisateur, créez un dossier avec n’importe quel nom pour contenir votre projet :
  mkdir pistack
cd pistack
• À l’intérieur, créez un nouveau fichier Docker Compose :
  (C’est juste un fichier texte.)
  nano compose.yaml
• Collez la configuration ci-dessous (l’indentation compte !) .
• Enregistrez et quittez (CTRL+X).

networks:
  private_network:
    ipam:
      driver: default
      config:
        - subnet: 10.2.0.0/24

services:
  unbound:
    image: "mvance/unbound-rpi:latest"  #pour architecture ARM
    container_name: unbound
    restart: unless-stopped
    hostname: "unbound"
    networks:
      private_network:
        ipv4_address: 10.2.0.200

  pihole:
    depends_on:
      - unbound
    container_name: pihole
    image: pihole/pihole:latest
    restart: unless-stopped
    hostname: pihole
    environment:
      TZ: ${TIMEZONE}
      FTLCONF_webserver_api_password: ${PIHOLE_PASSWORD}
      FTLCONF_dns_listeningMode: 'all'
      FTLCONF_dns_upstreams: 10.2.0.200;10.2.0.200  #définir deux fois pour remplacer les valeurs par défaut
      ServerIP: 10.2.0.100  #IP interne de pihole
    volumes:
      - "./etc-pihole/:/etc/pihole/"
      - "./etc-dnsmasq.d/:/etc/dnsmasq.d/"
    cap_add:
      - NET_ADMIN
      - CAP_SYS_NICE
    networks:
      private_network:
        ipv4_address: 10.2.0.100

  wg-easy:
    depends_on:
      - unbound
      - pihole
    environment:
      - WG_HOST=${PUBLIC_IP}
      - PASSWORD_HASH=${WG_PASSWORD_HASH}
      - WG_PORT=51820
      - WG_DEFAULT_ADDRESS=10.6.0.x
      - WG_DEFAULT_DNS=10.2.0.100
    image: ghcr.io/wg-easy/wg-easy:14
    container_name: wg-easy
    volumes:
      - "./wireguard:/etc/wireguard"
    ports:
      - "51820:51820/udp"
      - "51821:51821/tcp"
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv4.conf.all.src_valid_mark=1
    dns:
      - 10.2.0.100  #pointe vers pihole
      - 10.2.0.200  #pointe vers unbound
    networks:
      private_network:
        ipv4_address: 10.2.0.3

(Adapté du travail de IAmStoxe, 10h30, et m-karakus avec modifications.)

C’est tout ce dont nous avons besoin : WireGuard, Pi-Hole et Unbound dans un grand fichier texte.

Notes pour les curieux :

• L’image unbound-rpi est spécifiquement utilisée pour prendre en charge l’architecture Raspberry Pi.
• L’image wg-easy est le VPN et fournit également un panneau web pour une configuration facile.
• Le conteneur crée un réseau dans la plage 10.2.0.xxx.
  Pi-hole obtient 10.2.0.100; Unbound obtient 10.2.0.200; Les clients WireGuard obtiennent 10.6.0.xxx.

Modifier le fichier d’environnement

Ensuite, nous allons créer un fichier d’environnement. Vous avez peut-être remarqué que j’ai laissé de côté certaines informations clés dans le fichier Compose. Il s’agit d’une bonne pratique, il est recommandé de garder les secrets, comme les mots de passe, séparés du conteneur. De plus, nous pouvons les changer plus facilement si nécessaire.

Voici ce qu’il faut mettre dans votre fichier ENV :

• Dans votre dossier de projet, créez un fichier d’environnement :
  nano .env
• Collez les lignes ci-dessous :

# Définissez des variables ici pour le fichier Docker Compose
# Définissez votre adresse IP publique
PUBLIC_IP="my.ddns.net"

# Définissez votre fuseau horaire
TIMEZONE="America/Los_Angeles"

# Définissez le mot de passe pour Pi-hole
PIHOLE_PASSWORD="passwd"

# Définissez le hachage de mot de passe pour accéder à l'interface Wireguard
# Vous pouvez générer un hachage ici : https://bcrypt-generator.com 
# Le mot de passe par défaut est "passwd"
WG_PASSWORD_HASH='$2a$12$cQy4dZa0FNvD3056euNMdeymf5u6LuMvU8zyv3lQAlx1hEbe.ORe.'

• Changez ces entrées :
  • PUBLIC_IP par votre adresse IP publique (par exemple, 104.21.68.125).
    Ou définissez-la sur votre adresse DNS dynamique si vous en avez une, comme my.ddns.net.
  • TIMEZONE par votre identifiant de fuseau horaire.
  • PIHOLE_PASSWORD par le mot de passe que vous souhaitez pour le panneau d’administration de Pi-hole.
    (Faites cela plus tard après avoir tout configuré.)
  • WG_PASSWORD_HASH par le mot de passe que vous souhaitez pour le panneau d’administration de WireGuard.
    (Faites cela plus tard après avoir tout configuré. Notez les apostrophes.)
• Enregistrez et quittez (CTRL+X).
• Protégez votre fichier d’environnement en restreignant ses permissions (en anglais) :
  chmod 600 .env

Lorsque vous avez terminé la configuration, votre dossier devrait contenir seulement 2 fichiers, comme ceci :

Ces fichiers indiquent à Docker ce qu’il faut créer et déployer.

Déployer le conteneur

D’accord, il est temps de passer à l’action !
Troisièmement, lançons votre solution de sécurité Pi.

Depuis votre dossier de projet, exécutez :
docker compose up

Docker devrait commencer à télécharger et à exécuter les conteneurs que vous avez définis dans votre fichier YAML.
Attendez quelques instants, et votre solution de sécurité devrait être en ligne !

Comment utiliser votre solution de sécurité Raspberry Pi

Maintenant que vous avez déployé votre solution de sécurité Raspberry Pi, testons-la.
Dans cette section, vous apprendrez à :

• Vous connecter à votre VPN lorsque vous n’êtes pas chez vous.
• Vérifier si les publicités et les traqueurs sont bloqués.
• Vérifier si les requêtes DNS sont protégées.

Se connecter au VPN

Pour utiliser la solution de sécurité, vous devrez approuver quels appareils sont autorisés à se connecter à distance. Commencez par faire ces étapes à la maison tout en étant sur le même réseau local que votre Pi.

Activer la redirection de port pour WireGuard

Pour pouvoir atteindre votre Raspberry Pi via internet, vous devrez activer la redirection de port sur votre routeur réseau. J’espère que vous avez déjà attribué une adresse IP statique à votre Raspberry Pi avant de configurer cela.

Connectez-vous au panneau d’administration de votre routeur et activez la redirection de port vers votre Pi sur le port 51820, le port par défaut pour WireGuard.

Ajouter des clients VPN

Pour approuver quels appareils clients peuvent se connecter, nous allons utiliser l’interface web de WireGuard-UI :

• Depuis un PC sur votre réseau domestique, visitez http://IP:51821 dans votre navigateur.
  Remplacez IP par l’adresse IP locale de votre Raspberry Pi (par exemple, 192.168.1.130:51821).
  
• Connectez-vous avec votre mot de passe.
  Le mot de passe par défaut était ‘passwd’ à moins que vous ne l’ayez changé.
• Cliquez sur le bouton « + New Client« .
  On vous demandera de donner un nom à l’appareil client.
  Les étapes suivantes seront légèrement différentes selon l’application WireGuard sur votre iPhone / Android / Linux / PC / ou Mac.
  
  • Exemple 1 – smartphone : J’entre ‘phone’ pour mon premier appareil. Je clique sur l’icône « Show QR code » pour générer un code QR.
    
    Sur mon téléphone, j’installe le client WireGuard depuis le magasin d’applications. J’ajoute une nouvelle connexion VPN, puis « Create from QR code. » Je scanne le code d’avant et donne un nom au serveur, comme « pivpn » (ou tout autre nom).
    
  • Exemple 2 – PC : J’ajoute un autre client pour approuver mon ordinateur portable Windows. J’appuie sur le bouton « Download Configuration » pour générer un fichier de configuration WG.
    
    Sur mon ordinateur portable Windows, j’importe ce fichier dans son client WireGuard pour créer la connexion.

Répétez ces étapes pour chaque appareil client auquel vous souhaitez avoir accès lorsque vous n’êtes pas chez vous : 1) ajoutez l’appareil via le panneau web, et 2) importez la connexion dans l’application cliente de l’appareil.

Activer le split tunneling du VPN

IMPORTANT ! Vous devriez configurer le split tunneling du VPN sur chaque appareil client. L’objectif de cette solution est de fournir confidentialité et sécurité, mais nous ne voulons pas chiffrer tout le trafic, car cela ralentirait les choses et nécessiterait plus de complexité.

Pour activer le split tunneling du VPN sur chaque client WireGuard :

• Modifiez les paramètres de votre connexion VPN.
  Par exemple, sur mon ordinateur portable Windows, je fais un clic droit et choisis « Edit selected tunnel… »
• Sur la ligne « AllowedIPs », remplacez 0.0.0.0/0 par le sous-réseau 10.2.0.0/24.
• Décochez la case « Block untunneled traffic (kill-switch)« .
  Cela fait en sorte que seul l’accès à Pi-Hole/Unbound passe par le VPN.
  
• La ligne complète devrait maintenant ressembler à ceci :
  10.2.0.0/24, ::/1, 8000::/1
  (Si vous utilisez un téléphone ou une tablette, vous devrez peut-être entrer manuellement cette ligne complète.)
• Facultatif : Si vous souhaitez accéder à d’autres machines sur votre réseau domestique, comme un NAS (en anglais), vous pouvez également ajouter le sous-réseau local pour elles. Par exemple :
  10.2.0.0/24, 192.168.1.0/24, ::/1, 8000::/1

Tester la connexion VPN

Maintenant que la configuration est complète, activez la connexion VPN sur votre ordinateur portable/téléphone/tablette.

Remarque : Vous devrez vous connecter à votre VPN depuis l’extérieur de votre réseau domestique pour réaliser des tests. Dans mon cas, j’ai désactivé le Wi-Fi de mon téléphone et utilisé le réseau cellulaire.

Vous vouliez le tester ou l’utiliser pendant que vous êtes à la maison ?
Si oui, consultez cette question de la FAQ

Voilà, vous êtes connecté !
Deux tests rapides nous diront si notre VPN fonctionne comme prévu :

• Visitez http://10.2.0.100/admin dans votre navigateur web.
  Le panneau d’administration de Pi-hole se charge-t-il ?
  Si oui, cela signifie que le tunnel du VPN passe correctement par votre réseau local.
  
• Visitez un site externe, comme https://raspberrytips.com, dans votre navigateur web.
  La page se charge-t-elle ?
  Si oui, cela signifie que le split tunneling a également été configuré correctement.

C’était la partie la plus difficile, s’assurer que vous pouvez utiliser le VPN à distance vers votre Raspberry Pi à la maison. Maintenant, vérifions si les autres mesures de sécurité/confidentialité de notre solution fonctionnent.

Pi-hole bloque-t-il ?

Vérifions si Pi-hole bloque les publicités/traqueurs/malwares pendant que vous êtes sur le VPN :

• Visitez le panneau d’administration de Pi-hole (http://10.2.0.100/admin) dans votre navigateur.
  Entrez le mot de passe que vous avez défini plus tôt, et le tableau de bord de Pi-hole devrait apparaître.
  Cela vérifie que votre serveur Pi-Hole est opérationnel.
  
• Visitez AdBlock Tester, un site qui vous dit à quel point votre blocage de publicités est efficace.
  En bas de la page, vous verrez votre score.
  J’ai obtenu 96 sur 100 avec cette configuration, ce qui signifie qu’elle bloque presque tout ce qui est nuisible.
  

Unbound protège-t-il le DNS ?

Unbound est censé protéger nos requêtes DNS, alors vérifions s’il fait réellement son travail.

Tout d’abord, vérifions si Unbound est en charge du DNS de votre connexion. Allez à nouveau dans le panneau d’administration de Pi-hole, et naviguez vers Settings > DNS. Les cases en haut (Google, Quad9, etc.) devraient toutes être décochées, et les serveurs DNS personnalisés devraient ressembler à ceci :

Deuxièmement, vérifions si la validation DNSSEC est active.
Dans votre navigateur, visitez dnscheck.tools, et vous devriez réussir avec brio :

Troisièmement, vérifions si le chiffrement DNS est en vigueur.
Visitez https://one.one.one.one/help/, et la page devrait indiquer que ‘DoT’ est activé :

C’est tout ! Maintenant, chaque fois que vous voulez être en sécurité en déplacement, vous pouvez vous connecter à votre Raspberry Pi, et il s’occupera du reste pour vous, où que vous soyez. Et si jamais vous devez recréer cette configuration ailleurs, il vous suffit de coller les deux fichiers texte ci-dessus.

FAQ

Puis-je aussi utiliser ma solution de sécurité Pi localement ?

Oui, cela fonctionne localement tant que vous êtes connecté au VPN WireGuard.

Pour le faire fonctionner, ouvrez la configuration VPN sur votre appareil client.
Modifiez « Endpoint » pour pointer vers l’adresse IP locale de votre Raspberry Pi (par exemple, 192.168.1.130).

Cela pourrait ressembler à ceci :

Ensuite, votre appareil devrait pouvoir se connecter au VPN du Raspberry Pi même si vous êtes chez vous, et le reste de la protection s’activera.

Comment faire fonctionner le conteneur Docker en arrière-plan ?

Sur l’écran de statut du conteneur, vous pouvez taper ‘d’ pour l’envoyer en arrière-plan.

Alternativement, vous pouvez lancer le conteneur avec le drapeau de détachement :
docker compose up -d

Comment transférer ma solution de sécurité Raspberry Pi ?

La meilleure chose à propos de cette configuration est sa simplicité à la recréer :

• Si vous voulez tout recommencer, copiez seulement le texte à l’intérieur des fichiers compose.yaml et .env.
• Si vous avez des paramètres que vous souhaitez conserver, comme des clients VPN approuvés, copiez l’ensemble du dossier de projet vers votre nouvelle configuration.

Amenez les conteneurs en ligne sur votre nouveau système, et tout fonctionnera à nouveau en un rien de temps.
Ces mêmes étapes peuvent être utilisées pour faire des sauvegardes, aussi.

Comment mettre à jour ma solution de sécurité Raspberry Pi ?

Pour mettre à jour vos conteneurs, exécutez ces commandes depuis votre dossier de projet :

• Téléchargez les dernières images :
  docker compose pull
• Relancez les conteneurs :
  docker compose up

Pi-hole et Unbound devraient se mettre à jour vers la dernière version de cette manière. WireGuard ne le fera pas, car j’ai fixé l’image à une version stable (v14) pour éviter des pannes inattendues. Les utilisateurs avancés peuvent découvrir comment charger la dernière version s’ils sont prêts à la tester en version bêta.

Pourquoi n’avez-vous pas fait fonctionner Unbound comme un résolveur DNS récursif ?

Je ne recommande pas de faire fonctionner Unbound comme un résolveur DNS récursif pour cette utilisation particulière.
Cela crée trop de compromis :

• Exige une configuration plus complexe qui peut échouer de manière inattendue.
• Ralentit la connexion internet pour les clients.
• Perd la capacité de chiffrer les requêtes DNS.

Les utilisateurs avancés peuvent toujours faire fonctionner Unbound de manière récursive s’ils le souhaitent vraiment. Voici un indice : montez le volume dans le YAML pour obtenir le fichier unbound.conf, puis modifiez-le.

Ressources supplémentaires pour votre Raspberry Pi

Initiation au Raspberry Pi en vidéo
Si vous débutez et voulez passer rapidement à la vitesse supérieure, j’ai exactement ce qu’il vous faut.
Regardez ma formation vidéo qui vous aidera à démarrer du bon bien, choisir votre matériel, installer les meilleures applications et vous lancer directement dans vos premiers projets avec mon aide.
Regarder les vidéos dès maintenant

Maîtrisez votre Raspberry Pi en 30 jours
Vous avez besoin de plus ? Si vous êtes à la recherche des meilleures astuces pour devenir expert sur Raspberry Pi, ce livre est fait pour vous. Développez vos compétences sous Linux et pratiquez via de nombreux projets en suivant mes guides étape par étape. 10% de remise aujourd’hui !
Télécharger le livre au format PDF ici

Maîtrisez Python sur Raspberry Pi
Pas besoin d’être un génie pour coder quelques lignes pour votre Raspberry Pi.
Je vous apprends juste ce qu’il faut sur Python afin de réaliser n’importe quel projet. La seconde partie du livre est d’ailleurs consacrée à des exemples de projets où je vous guide pas à pas.
Ne perdez pas de temps, apprenez le strict nécessaire et économisez 10% avec ce lien :
Télécharger maintenant

Autres ressources pour profiter de votre Raspberry Pi
J’ai regroupé toutes mes recommandations de logiciels, sites utiles et de matériel sur cette page de ressources. Je vous invite à la consulter régulièrement pour faire les bons choix et rester à jour.
Visiter les pages ressources