L’authentification par cl\u00e9 SSH prot\u00e8ge vos serveurs contre 99 % des attaques automatis\u00e9es bas\u00e9es sur les mots de passe. Ce tutoriel vous guide \u00e0 travers 12 \u00e9tapes pour g\u00e9n\u00e9rer, configurer et s\u00e9curiser des cl\u00e9s SSH Ed25519 ou RSA 4 096 bits sur Linux, macOS et Windows, en moins de 30 minutes.<\/p>\n\n\n\n
Les mots de passe SSH sont vuln\u00e9rables aux attaques par force brute, aux attaques par dictionnaire et \u00e0 l’hame\u00e7onnage. Un serveur expos\u00e9 sur Internet re\u00e7oit en moyenne plusieurs milliers de tentatives de connexion par mot de passe chaque jour. Les cl\u00e9s SSH \u00e9liminent enti\u00e8rement ce vecteur d’attaque.<\/p>\n\n\n\n
Une cl\u00e9 SSH Ed25519 256 bits offre une s\u00e9curit\u00e9 \u00e9quivalente \u00e0 une cl\u00e9 RSA de 3 000 bits, avec des op\u00e9rations cryptographiques nettement plus rapides. La paire de cl\u00e9s fonctionne sur le principe de la cryptographie asym\u00e9trique : vous gardez la cl\u00e9 priv\u00e9e sur votre machine locale, et d\u00e9posez la cl\u00e9 publique sur les serveurs auxquels vous souhaitez acc\u00e9der.<\/p>\n\n\n\n
Lorsque vous vous connectez, le serveur chiffre un d\u00e9fi al\u00e9atoire avec votre cl\u00e9 publique. Seul le d\u00e9tenteur de la cl\u00e9 priv\u00e9e correspondante peut d\u00e9chiffrer ce d\u00e9fi et prouver son identit\u00e9. Aucun mot de passe ne transite sur le r\u00e9seau. En production, d\u00e9sactiver l’authentification par mot de passe au profit des cl\u00e9s SSH est l’une des mesures de durcissement les plus efficaces que vous pouvez appliquer en quelques minutes.<\/p>\n\n\n\n
Les cl\u00e9s SSH sont aussi plus pratiques : une fois l’agent SSH configur\u00e9, vous vous connectez \u00e0 vos serveurs sans saisir de mot de passe. Vous pouvez automatiser les d\u00e9ploiements, les sauvegardes et les scripts d’administration sans stocker de mots de passe en clair dans vos fichiers de configuration.<\/p>\n\n\n\n
Avant de commencer, v\u00e9rifiez que vous disposez des \u00e9l\u00e9ments suivants :<\/p>\n\n\n\n
V\u00e9rifiez votre version d’OpenSSH avec cette commande :<\/p>\n\n\n\n
ssh -V<\/code><\/pre>\n\n\n\nExemple de sortie :<\/p>\n\n\n\n
OpenSSH_9.6p1 Ubuntu-3ubuntu13.5, OpenSSL 3.0.13 30 Jan 2024<\/code><\/pre>\n\n\n\nSi votre version est ant\u00e9rieure \u00e0 6.5, Ed25519 n’est pas support\u00e9. Dans ce cas, mettez \u00e0 jour OpenSSH ou utilisez RSA 4 096 bits. Sur Ubuntu et Debian, la mise \u00e0 jour s’effectue avec sudo apt update && sudo apt install openssh-client openssh-server<\/code>.<\/p>\n\n\n\nVue d’ensemble : comment fonctionne l’authentification par cl\u00e9 SSH<\/h2>\n\n\n\n
L’authentification par cl\u00e9 SSH repose sur la cryptographie asym\u00e9trique. Voici le flux complet d’une connexion r\u00e9ussie :<\/p>\n\n\n\n
\n- Le client SSH propose sa cl\u00e9 publique au serveur<\/li>\n
- Le serveur v\u00e9rifie que cette cl\u00e9 est pr\u00e9sente dans
~\/.ssh\/authorized_keys<\/code><\/li>\n- Le serveur g\u00e9n\u00e8re un d\u00e9fi al\u00e9atoire et le chiffre avec la cl\u00e9 publique du client<\/li>\n
- Le client d\u00e9chiffre le d\u00e9fi avec sa cl\u00e9 priv\u00e9e<\/li>\n
- Le client envoie la r\u00e9ponse d\u00e9chiffr\u00e9e, combin\u00e9e \u00e0 un identifiant de session<\/li>\n
- Le serveur v\u00e9rifie la r\u00e9ponse et autorise la connexion sans aucun mot de passe<\/li>\n<\/ol>\n\n\n\n
Ce m\u00e9canisme garantit que la cl\u00e9 priv\u00e9e ne quitte jamais votre machine locale. M\u00eame si un attaquant intercepte la communication, il ne peut pas retrouver la cl\u00e9 priv\u00e9e \u00e0 partir du d\u00e9fi chiffr\u00e9.<\/p>\n\n\n\nAlgorithme<\/th> Taille de cl\u00e9<\/th> S\u00e9curit\u00e9 \u00e9quivalente RSA<\/th> Performance signature<\/th> Recommandation 2026<\/th><\/tr><\/thead> Ed25519<\/td> 256 bits<\/td> ~3 000 bits<\/td> Tr\u00e8s rapide<\/td> Premier choix<\/td><\/tr> RSA 4096<\/td> 4 096 bits<\/td> 4 096 bits<\/td> Moyen<\/td> Compatibilit\u00e9 legacy<\/td><\/tr> ECDSA 256<\/td> 256 bits<\/td> ~3 000 bits<\/td> Rapide<\/td> D\u00e9conseill\u00e9<\/td><\/tr> RSA 2048<\/td> 2 048 bits<\/td> 2 048 bits<\/td> Moyen<\/td> D\u00e9pr\u00e9ci\u00e9<\/td><\/tr> DSA 1024<\/td> 1 024 bits<\/td> Insuffisant<\/td> Lent<\/td> Interdit<\/td><\/tr> Ed25519-SK<\/td> 256 bits<\/td> ~3 000 bits<\/td> Tr\u00e8s rapide<\/td> YubiKey\/FIDO2<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n\u00c9tape 1 : g\u00e9n\u00e9rer une paire de cl\u00e9s SSH Ed25519<\/h2>\n\n\n\n
Ed25519 est l’algorithme recommand\u00e9 pour tous les nouveaux d\u00e9ploiements en 2026. Il utilise la courbe elliptique Curve25519, con\u00e7ue par Daniel J. Bernstein, avec des param\u00e8tres publiquement v\u00e9rifiables. Ses avantages par rapport \u00e0 RSA sont multiples : cl\u00e9s beaucoup plus courtes (68 octets contre ~800 pour RSA 4096), signatures rapides et un m\u00e9canisme d\u00e9terministe qui \u00e9limine les risques li\u00e9s \u00e0 un g\u00e9n\u00e9rateur de nombres al\u00e9atoires d\u00e9faillant.<\/p>\n\n\n\n
Sur votre machine locale, ex\u00e9cutez :<\/p>\n\n\n\n
ssh-keygen -t ed25519 -C \"votre-email@domaine.fr\"<\/code><\/pre>\n\n\n\nSortie attendue :<\/p>\n\n\n\n
Generating public\/private ed25519 key pair.\nEnter file in which to save the key (\/home\/utilisateur\/.ssh\/id_ed25519):\nEnter passphrase (empty for no passphrase):\nEnter same passphrase again:\nYour identification has been saved in \/home\/utilisateur\/.ssh\/id_ed25519\nYour public key has been saved in \/home\/utilisateur\/.ssh\/id_ed25519.pub\nThe key fingerprint is:\nSHA256:AbCdEfGhIjKlMnOpQrStUvWxYz1234567890abcdef votre-email@domaine.fr\nThe key's randomart image is:\n+--[ED25519 256]--+\n| .o+o.. |\n| . ooo. |\n| =... |\n| . * |\n| S . + |\n+----[SHA256]-----+<\/code><\/pre>\n\n\n\nPar d\u00e9faut, ssh-keygen<\/code> cr\u00e9e deux fichiers :<\/p>\n\n\n\n\n~\/.ssh\/id_ed25519<\/code> : votre cl\u00e9 priv\u00e9e, \u00e0 ne jamais partager<\/li>\n~\/.ssh\/id_ed25519.pub<\/code> : votre cl\u00e9 publique, \u00e0 d\u00e9poser sur les serveurs<\/li>\n<\/ul>\n\n\n\nPour nommer la cl\u00e9 diff\u00e9remment, recommand\u00e9 si vous g\u00e9rez plusieurs serveurs ou comptes :<\/p>\n\n\n\n
ssh-keygen -t ed25519 -C \"serveur-prod-2026\" -f ~\/.ssh\/id_ed25519_prod<\/code><\/pre>\n\n\n\nV\u00e9rifiez que la cl\u00e9 est bien g\u00e9n\u00e9r\u00e9e :<\/p>\n\n\n\n
ls -la ~\/.ssh\/<\/code><\/pre>\n\n\n\nAffichez votre cl\u00e9 publique pour la copier sur un serveur :<\/p>\n\n\n\n
cat ~\/.ssh\/id_ed25519.pub<\/code><\/pre>\n\n\n\nSortie (la v\u00f4tre sera diff\u00e9rente) :<\/p>\n\n\n\n
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBcgkBFKMOmNyFJ1VzMz2J5HkqLbGgB7XzABCDE12345 votre-email@domaine.fr<\/code><\/pre>\n\n\n\n\u00c9tape 2 : g\u00e9n\u00e9rer une cl\u00e9 RSA 4 096 bits pour la compatibilit\u00e9<\/h2>\n\n\n\n
Certains syst\u00e8mes plus anciens ne supportent pas Ed25519 : \u00e9quipements r\u00e9seau sous firmware vieillissant, serveurs sous CentOS 6, ou certains clients SSH Windows pr\u00e9install\u00e9s. Dans ces cas, utilisez RSA 4 096 bits.<\/p>\n\n\n\n
ssh-keygen -t rsa -b 4096 -C \"votre-email@domaine.fr\"<\/code><\/pre>\n\n\n\nSortie attendue :<\/p>\n\n\n\n
Generating public\/private rsa key pair.\nEnter file in which to save the key (\/home\/utilisateur\/.ssh\/id_rsa):\nEnter passphrase (empty for no passphrase):\nEnter same passphrase again:\nYour identification has been saved in \/home\/utilisateur\/.ssh\/id_rsa\nYour public key has been saved in \/home\/utilisateur\/.ssh\/id_rsa.pub\nThe key fingerprint is:\nSHA256:XyZaBcDeFgHiJkLmNoPqRsTuVwXyZ12345678abcdef votre-email@domaine.fr<\/code><\/pre>\n\n\n\nN’utilisez jamais RSA 1 024 ou 2 048 bits pour de nouveaux projets. RSA 1 024 bits est consid\u00e9r\u00e9 cassable avec des ressources importantes. RSA 2 048 bits reste acceptable pour la compatibilit\u00e9 h\u00e9rit\u00e9e, mais 4 096 bits est la taille minimale recommand\u00e9e pour les nouvelles cl\u00e9s RSA en 2026.<\/p>\n\n\n\n
Pour v\u00e9rifier la taille et l’empreinte de votre cl\u00e9 :<\/p>\n\n\n\n
ssh-keygen -l -f ~\/.ssh\/id_rsa.pub<\/code><\/pre>\n\n\n\nSortie :<\/p>\n\n\n\n
4096 SHA256:XyZaBcDeFgHiJkLmNoPqRsTuVwXyZ12345678abcdef votre-email@domaine.fr (RSA)<\/code><\/pre>\n\n\n\nLe premier chiffre (4096) confirme la taille de la cl\u00e9. Si vous voyez 2048 ou moins, r\u00e9g\u00e9n\u00e9rez la cl\u00e9 avec -b 4096<\/code>.<\/p>\n\n\n\n\u00c9tape 3 : prot\u00e9ger la cl\u00e9 priv\u00e9e avec une phrase de passe<\/h2>\n\n\n\n
La phrase de passe chiffre votre cl\u00e9 priv\u00e9e sur disque avec AES-256-CBC. Si quelqu’un acc\u00e8de physiquement \u00e0 votre machine ou vole le fichier de cl\u00e9, il ne peut pas l’utiliser sans la phrase de passe. Utilisez une phrase de passe d’au moins 14 caract\u00e8res, en combinant lettres, chiffres et caract\u00e8res sp\u00e9ciaux. Une phrase enti\u00e8re est plus facile \u00e0 retenir qu’une suite de caract\u00e8res al\u00e9atoires et peut \u00eatre tout aussi s\u00e9curis\u00e9e.<\/p>\n\n\n\n
Pour ajouter ou modifier la phrase de passe d’une cl\u00e9 existante :<\/p>\n\n\n\n
ssh-keygen -p -f ~\/.ssh\/id_ed25519<\/code><\/pre>\n\n\n\nSortie :<\/p>\n\n\n\n
Enter old passphrase:\nEnter new passphrase (empty for no passphrase):\nEnter same passphrase again:\nYour identification has been saved with the new passphrase.<\/code><\/pre>\n\n\n\nD\u00e9finissez maintenant les permissions correctes sur vos fichiers SSH. Des permissions trop ouvertes emp\u00eachent OpenSSH de fonctionner :<\/p>\n\n\n\n
chmod 700 ~\/.ssh\nchmod 600 ~\/.ssh\/id_ed25519\nchmod 644 ~\/.ssh\/id_ed25519.pub\nchmod 600 ~\/.ssh\/config 2>\/dev\/null || true<\/code><\/pre>\n\n\n\nV\u00e9rifiez les permissions :<\/p>\n\n\n\n
ls -la ~\/.ssh\/<\/code><\/pre>\n\n\n\nSortie attendue :<\/p>\n\n\n\n
drwx------ 2 utilisateur utilisateur 4096 jun 19 10:00 .\ndrwxr-xr-x 25 utilisateur utilisateur 4096 jun 19 09:58 ..\n-rw------- 1 utilisateur utilisateur 411 jun 19 10:00 id_ed25519\n-rw-r--r-- 1 utilisateur utilisateur 100 jun 19 10:00 id_ed25519.pub<\/code><\/pre>\n\n\n\n\u00c9tape 4 : copier la cl\u00e9 publique sur le serveur avec ssh-copy-id<\/h2>\n\n\n\n
ssh-copy-id<\/code> est l’outil le plus simple pour d\u00e9poser votre cl\u00e9 publique sur un serveur distant. Il g\u00e8re automatiquement la cr\u00e9ation du r\u00e9pertoire ~\/.ssh<\/code> et du fichier authorized_keys<\/code> avec les bonnes permissions.<\/p>\n\n\n\nssh-copy-id -i ~\/.ssh\/id_ed25519.pub utilisateur@adresse-ip-serveur<\/code><\/pre>\n\n\n\nExemple avec un port non standard :<\/p>\n\n\n\n
ssh-copy-id -i ~\/.ssh\/id_ed25519.pub -p 2222 utilisateur@192.168.1.100<\/code><\/pre>\n\n\n\nSortie attendue :<\/p>\n\n\n\n
\/usr\/bin\/ssh-copy-id: INFO: Source of key(s) to be installed: \"\/home\/utilisateur\/.ssh\/id_ed25519.pub\"\n\/usr\/bin\/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed\n\/usr\/bin\/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys\nutilisateur@192.168.1.100's password:\n\nNumber of key(s) added: 1\n\nNow try logging into the machine, with: \"ssh 'utilisateur@192.168.1.100'\"\nand check to make sure that only the key(s) you wanted were added.<\/code><\/pre>\n\n\n\nSur macOS<\/strong>, si ssh-copy-id<\/code> n’est pas disponible, installez-le via Homebrew :<\/p>\n\n\n\nbrew install ssh-copy-id<\/code><\/pre>\n\n\n\nSur Windows<\/strong> avec PowerShell, copiez manuellement avec cette commande :<\/p>\n\n\n\ntype $env:USERPROFILE\\.ssh\\id_ed25519.pub | ssh utilisateur@192.168.1.100 \"cat >> ~\/.ssh\/authorized_keys\"<\/code><\/pre>\n\n\n\nSi le r\u00e9pertoire ~\/.ssh<\/code> n’existe pas encore sur le serveur, cr\u00e9ez-le d’abord :<\/p>\n\n\n\nssh utilisateur@192.168.1.100 \"mkdir -p ~\/.ssh && chmod 700 ~\/.ssh\"<\/code><\/pre>\n\n\n\n\u00c9tape 5 : configurer authorized_keys manuellement<\/h2>\n\n\n\n
Si ssh-copy-id<\/code> n’est pas disponible, ou si vous administrez plusieurs utilisateurs sur un serveur sans acc\u00e8s direct, configurez authorized_keys<\/code> manuellement.<\/p>\n\n\n\nConnectez-vous au serveur avec un mot de passe ou via un acc\u00e8s console, puis ex\u00e9cutez :<\/p>\n\n\n\n
# Sur le serveur distant\nmkdir -p ~\/.ssh\nchmod 700 ~\/.ssh\ntouch ~\/.ssh\/authorized_keys\nchmod 600 ~\/.ssh\/authorized_keys<\/code><\/pre>\n\n\n\nCopiez le contenu de votre cl\u00e9 publique depuis votre machine locale :<\/p>\n\n\n\n
# Sur votre machine locale\ncat ~\/.ssh\/id_ed25519.pub<\/code><\/pre>\n\n\n\nSur le serveur, ajoutez la cl\u00e9 publique au fichier authorized_keys<\/code> :<\/p>\n\n\n\necho \"ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBcg... votre-email@domaine.fr\" >> ~\/.ssh\/authorized_keys<\/code><\/pre>\n\n\n\nV\u00e9rifiez le contenu du fichier :<\/p>\n\n\n\n
cat ~\/.ssh\/authorized_keys<\/code><\/pre>\n\n\n\nVous pouvez restreindre une cl\u00e9 \u00e0 certaines adresses IP sources ou \u00e0 une seule commande gr\u00e2ce aux options authorized_keys<\/code> :<\/p>\n\n\n\n# Restreindre \u00e0 une adresse IP source\nfrom=\"192.168.1.50\" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAA... votre-email@domaine.fr\n\n# Limiter \u00e0 une seule commande (pour les scripts de sauvegarde)\ncommand=\"rsync --server -avz . \/backup\/\",no-pty,no-agent-forwarding,no-X11-forwarding ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAA... backup@domaine.fr\n\n# Combinaison : IP source et commande unique\nfrom=\"10.0.0.5\",command=\"\/usr\/bin\/rsync --server -avz . \/data\/\" ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAA... backup-script@domaine.fr<\/code><\/pre>\n\n\n\nCes restrictions permettent d’accorder un acc\u00e8s SSH minimal \u00e0 des scripts d’automatisation sans risquer qu’une cl\u00e9 vol\u00e9e soit utilis\u00e9e pour un acc\u00e8s shell complet.<\/p>\n\n\n\n
\u00c9tape 6 : tester la connexion SSH par cl\u00e9<\/h2>\n\n\n\n
Avant de d\u00e9sactiver l’authentification par mot de passe, testez la connexion par cl\u00e9 dans une nouvelle session distincte, en gardant votre session actuelle ouverte. Si quelque chose tourne mal, vous conservez l’acc\u00e8s.<\/p>\n\n\n\n
ssh -i ~\/.ssh\/id_ed25519 utilisateur@192.168.1.100<\/code><\/pre>\n\n\n\nPour forcer l’authentification par cl\u00e9 uniquement et diagnostiquer les probl\u00e8mes :<\/p>\n\n\n\n
ssh -v -i ~\/.ssh\/id_ed25519 -o PasswordAuthentication=no utilisateur@192.168.1.100<\/code><\/pre>\n\n\n\nSortie partielle en mode verbeux lors d’une connexion r\u00e9ussie :<\/p>\n\n\n\n
debug1: Connecting to 192.168.1.100 [192.168.1.100] port 22.\ndebug1: Connection established.\ndebug1: Authenticating to 192.168.1.100:22 as 'utilisateur'\ndebug1: Offering public key: \/home\/utilisateur\/.ssh\/id_ed25519 ED25519 SHA256:AbCdEf...\ndebug1: Server accepts key: \/home\/utilisateur\/.ssh\/id_ed25519 ED25519 SHA256:AbCdEf...\ndebug1: Authentication succeeded (publickey).\nAuthenticated to 192.168.1.100 ([192.168.1.100]:22).<\/code><\/pre>\n\n\n\nLa ligne Authentication succeeded (publickey)<\/code> confirme que la connexion utilise bien votre cl\u00e9 SSH. Si vous voyez \u00e0 la place Authentication succeeded (password)<\/code>, la configuration de la cl\u00e9 est incorrecte.<\/p>\n\n\n\n\u00c9tape 7 : d\u00e9sactiver l’authentification par mot de passe<\/h2>\n\n\n\n
Une fois la connexion par cl\u00e9 valid\u00e9e et test\u00e9e, d\u00e9sactivez l’authentification par mot de passe sur le serveur. Cette \u00e9tape \u00e9limine 99 % des tentatives d’attaque par force brute automatis\u00e9es.<\/p>\n\n\n\n
Connectez-vous au serveur avec votre cl\u00e9 SSH, puis \u00e9ditez le fichier de configuration du daemon SSH :<\/p>\n\n\n\n
sudo nano \/etc\/ssh\/sshd_config<\/code><\/pre>\n\n\n\nTrouvez et modifiez ou ajoutez les directives suivantes :<\/p>\n\n\n\n
# D\u00e9sactiver l'authentification par mot de passe\nPasswordAuthentication no\n\n# D\u00e9sactiver l'authentification par clavier interactif\nKbdInteractiveAuthentication no\n\n# D\u00e9sactiver les mots de passe vides\nPermitEmptyPasswords no\n\n# D\u00e9sactiver la connexion root directe\nPermitRootLogin no\n\n# Activer l'authentification par cl\u00e9 publique\nPubkeyAuthentication yes\n\n# Sp\u00e9cifier le fichier authorized_keys\nAuthorizedKeysFile .ssh\/authorized_keys<\/code><\/pre>\n\n\n\nTestez la configuration avant de recharger :<\/p>\n\n\n\n
sudo sshd -t<\/code><\/pre>\n\n\n\nSi cette commande ne retourne rien, la syntaxe est valide. Rechargez la configuration sans couper les connexions existantes :<\/p>\n\n\n\n
# Sur Ubuntu et Debian\nsudo systemctl reload ssh\n\n# Sur CentOS, RHEL, Fedora, AlmaLinux\nsudo systemctl reload sshd<\/code><\/pre>\n\n\n\nDepuis une troisi\u00e8me fen\u00eatre de terminal, v\u00e9rifiez qu’il est impossible de se connecter par mot de passe :<\/p>\n\n\n\n
ssh -o PasswordAuthentication=yes -o PubkeyAuthentication=no utilisateur@192.168.1.100<\/code><\/pre>\n\n\n\nSortie attendue :<\/p>\n\n\n\n
utilisateur@192.168.1.100: Permission denied (publickey).<\/code><\/pre>\n\n\n\n\u00c9tape 8 : utiliser ssh-agent pour g\u00e9rer les cl\u00e9s<\/h2>\n\n\n\n
Si votre cl\u00e9 priv\u00e9e est prot\u00e9g\u00e9e par une phrase de passe, vous devrez la saisir \u00e0 chaque connexion. ssh-agent<\/code> stocke la cl\u00e9 d\u00e9chiffr\u00e9e en m\u00e9moire pour la dur\u00e9e de votre session, vous \u00e9vitant de la saisir plusieurs fois.<\/p>\n\n\n\nD\u00e9marrez ssh-agent<\/code> et ajoutez votre cl\u00e9 :<\/p>\n\n\n\neval \"$(ssh-agent -s)\"\nssh-add ~\/.ssh\/id_ed25519<\/code><\/pre>\n\n\n\nSortie :<\/p>\n\n\n\n
Agent pid 12345\nEnter passphrase for \/home\/utilisateur\/.ssh\/id_ed25519:\nIdentity added: \/home\/utilisateur\/.ssh\/id_ed25519 (votre-email@domaine.fr)<\/code><\/pre>\n\n\n\nPour lister les cl\u00e9s charg\u00e9es dans l’agent :<\/p>\n\n\n\n
ssh-add -l<\/code><\/pre>\n\n\n\nSortie :<\/p>\n\n\n\n
256 SHA256:AbCdEf... votre-email@domaine.fr (ED25519)<\/code><\/pre>\n\n\n\nSur macOS<\/strong>, ajoutez votre cl\u00e9 au trousseau Keychain pour qu’elle se recharge automatiquement apr\u00e8s chaque red\u00e9marrage :<\/p>\n\n\n\nssh-add --apple-use-keychain ~\/.ssh\/id_ed25519<\/code><\/pre>\n\n\n\nAjoutez ces lignes \u00e0 votre ~\/.ssh\/config<\/code> sur macOS :<\/p>\n\n\n\nHost *\n UseKeychain yes\n AddKeysToAgent yes\n IdentityFile ~\/.ssh\/id_ed25519<\/code><\/pre>\n\n\n\nSur Linux<\/strong>, pour que ssh-agent d\u00e9marre automatiquement \u00e0 chaque ouverture de terminal, ajoutez ceci \u00e0 votre ~\/.bashrc<\/code> ou ~\/.zshrc<\/code> :<\/p>\n\n\n\nif [ -z \"$SSH_AUTH_SOCK\" ]; then\n eval \"$(ssh-agent -s)\" > \/dev\/null\n ssh-add ~\/.ssh\/id_ed25519 2>\/dev\/null\nfi<\/code><\/pre>\n\n\n\nPour supprimer une cl\u00e9 de l’agent sans tuer le processus :<\/p>\n\n\n\n
ssh-add -d ~\/.ssh\/id_ed25519<\/code><\/pre>\n\n\n\n\u00c9tape 9 : configurer le fichier ~\/.ssh\/config<\/h2>\n\n\n\n
Le fichier ~\/.ssh\/config<\/code> simplifie la gestion de multiples serveurs SSH en d\u00e9finissant des alias et des options par h\u00f4te. Il vous \u00e9vite de taper l’adresse IP compl\u00e8te, le port ou le nom d’utilisateur \u00e0 chaque connexion.<\/p>\n\n\n\nnano ~\/.ssh\/config<\/code><\/pre>\n\n\n\nExemple de configuration compl\u00e8te avec plusieurs serveurs :<\/p>\n\n\n\n
# Serveur de production\nHost prod\n HostName 203.0.113.10\n User deployer\n IdentityFile ~\/.ssh\/id_ed25519_prod\n Port 2222\n IdentitiesOnly yes\n\n# Serveur de staging\nHost staging\n HostName 203.0.113.20\n User ubuntu\n IdentityFile ~\/.ssh\/id_ed25519\n Port 22\n IdentitiesOnly yes\n\n# Bastion SSH (jump host)\nHost bastion\n HostName bastion.entreprise.fr\n User admin\n IdentityFile ~\/.ssh\/id_ed25519\n Port 22\n\n# Serveur interne via bastion\nHost serveur-interne\n HostName 10.0.0.50\n User admin\n ProxyJump bastion\n IdentityFile ~\/.ssh\/id_ed25519\n\n# Configuration globale\nHost *\n ServerAliveInterval 60\n ServerAliveCountMax 3\n IdentitiesOnly yes\n AddKeysToAgent yes<\/code><\/pre>\n\n\n\nAvec cette configuration, vous vous connectez au serveur de production avec :<\/p>\n\n\n\n
ssh prod<\/code><\/pre>\n\n\n\nLa directive IdentitiesOnly yes<\/code> emp\u00eache ssh d’essayer toutes les cl\u00e9s de l’agent avant d’utiliser celle sp\u00e9cifi\u00e9e. Sans cette option, des serveurs avec des politiques restrictives (MaxAuthTries bas) peuvent refuser la connexion apr\u00e8s trop de tentatives. ServerAliveInterval 60<\/code> envoie un paquet keepalive toutes les 60 secondes pour \u00e9viter les d\u00e9connexions intempestives dues aux pare-feux.<\/p>\n\n\n\nD\u00e9finissez les bonnes permissions sur ce fichier :<\/p>\n\n\n\n
chmod 600 ~\/.ssh\/config<\/code><\/pre>\n\n\n\n\u00c9tape 10 : configurer les cl\u00e9s SSH pour GitHub et GitLab<\/h2>\n\n\n\n
GitHub et GitLab utilisent les cl\u00e9s SSH pour authentifier les op\u00e9rations Git (clone, push, pull) sans mot de passe. Voici comment configurer une cl\u00e9 d\u00e9di\u00e9e et g\u00e9rer plusieurs comptes sur la m\u00eame machine.<\/p>\n\n\n\n
G\u00e9n\u00e9rez une cl\u00e9 d\u00e9di\u00e9e pour GitHub :<\/p>\n\n\n\n
ssh-keygen -t ed25519 -C \"git@github-compte-pro\" -f ~\/.ssh\/id_ed25519_github<\/code><\/pre>\n\n\n\nAffichez votre cl\u00e9 publique :<\/p>\n\n\n\n
cat ~\/.ssh\/id_ed25519_github.pub<\/code><\/pre>\n\n\n\nSur GitHub, allez dans Param\u00e8tres > Cl\u00e9s SSH et GPG > Nouvelle cl\u00e9 SSH<\/strong>. Collez le contenu de votre cl\u00e9 publique. Choisissez un titre descriptif comme “MacBook Pro 2026” ou “Laptop Dev”.<\/p>\n\n\n\nAjoutez une entr\u00e9e dans ~\/.ssh\/config<\/code> :<\/p>\n\n\n\nHost github.com\n HostName github.com\n User git\n IdentityFile ~\/.ssh\/id_ed25519_github\n IdentitiesOnly yes\n\nHost gitlab.com\n HostName gitlab.com\n User git\n IdentityFile ~\/.ssh\/id_ed25519_gitlab\n IdentitiesOnly yes<\/code><\/pre>\n\n\n\nTestez la connexion \u00e0 GitHub :<\/p>\n\n\n\n
ssh -T git@github.com<\/code><\/pre>\n\n\n\nSortie attendue :<\/p>\n\n\n\n
Hi votre-nom-utilisateur! You've successfully authenticated, but GitHub does not provide shell access.<\/code><\/pre>\n\n\n\nPour g\u00e9rer plusieurs comptes GitHub, un personnel et un professionnel, sur la m\u00eame machine :<\/p>\n\n\n\n
Host github-perso\n HostName github.com\n User git\n IdentityFile ~\/.ssh\/id_ed25519_github_perso\n IdentitiesOnly yes\n\nHost github-pro\n HostName github.com\n User git\n IdentityFile ~\/.ssh\/id_ed25519_github_pro\n IdentitiesOnly yes<\/code><\/pre>\n\n\n\nClonez les d\u00e9p\u00f4ts en utilisant l’alias correspondant :<\/p>\n\n\n\n
# Compte personnel\ngit clone git@github-perso:votre-pseudo\/mon-projet.git\n\n# Compte professionnel\ngit clone git@github-pro:entreprise\/projet-pro.git<\/code><\/pre>\n\n\n\n\u00c9tape 11 : rotation et r\u00e9vocation des cl\u00e9s SSH<\/h2>\n\n\n\n
La rotation r\u00e9guli\u00e8re des cl\u00e9s SSH est une pratique essentielle dans les environnements professionnels. Une cl\u00e9 compromise repr\u00e9sente un acc\u00e8s permanent jusqu’\u00e0 sa r\u00e9vocation. Voici la proc\u00e9dure compl\u00e8te pour effectuer une rotation sans interruption de service.<\/p>\n\n\n\n
Pour r\u00e9voquer une cl\u00e9, supprimez la ligne correspondante dans ~\/.ssh\/authorized_keys<\/code> sur le serveur :<\/p>\n\n\n\n# V\u00e9rifier les cl\u00e9s actuellement autoris\u00e9es\ncat ~\/.ssh\/authorized_keys\n\n# Supprimer une cl\u00e9 par son commentaire\nsed -i '\/ancien-email@domaine.fr\/d' ~\/.ssh\/authorized_keys\n\n# V\u00e9rifier la suppression\ncat ~\/.ssh\/authorized_keys<\/code><\/pre>\n\n\n\nProc\u00e9dure de rotation en 3 \u00e9tapes sans coupure de service :<\/p>\n\n\n\n
\n- G\u00e9n\u00e9rez une nouvelle paire de cl\u00e9s sur votre machine locale :
ssh-keygen -t ed25519 -f ~\/.ssh\/id_ed25519_nouveau<\/code><\/li>\n- Ajoutez la nouvelle cl\u00e9 publique dans
authorized_keys<\/code> sur chaque serveur, les deux cl\u00e9s coexistant temporairement<\/li>\n- Testez la connexion avec la nouvelle cl\u00e9, puis supprimez l’ancienne<\/li>\n<\/ol>\n\n\n\n
Pour les environnements avec plusieurs serveurs, ce script automatise la rotation :<\/p>\n\n\n\n
#!\/bin\/bash\n# Script de rotation de cl\u00e9 SSH sur plusieurs serveurs\n\nNOUVELLE_CLE=$(cat ~\/.ssh\/id_ed25519_nouveau.pub)\nANCIENNE_CLE_COMMENTAIRE=\"ancien-email@domaine.fr\"\nSERVEURS=(\"prod1.domaine.fr\" \"prod2.domaine.fr\" \"staging.domaine.fr\")\n\nfor SERVEUR in \"${SERVEURS[@]}\"; do\n echo \"Traitement de $SERVEUR...\"\n\n # Ajouter la nouvelle cl\u00e9\n ssh utilisateur@$SERVEUR \"echo '$NOUVELLE_CLE' >> ~\/.ssh\/authorized_keys\"\n\n # Tester la connexion avec la nouvelle cl\u00e9\n if ssh -i ~\/.ssh\/id_ed25519_nouveau utilisateur@$SERVEUR \"echo 'Connexion OK'\" 2>\/dev\/null; then\n # Supprimer l'ancienne cl\u00e9 seulement si la nouvelle fonctionne\n ssh -i ~\/.ssh\/id_ed25519_nouveau utilisateur@$SERVEUR \\\n \"sed -i '\/$ANCIENNE_CLE_COMMENTAIRE\/d' ~\/.ssh\/authorized_keys\"\n echo \"$SERVEUR : rotation terminee avec succes\"\n else\n echo \"$SERVEUR : ECHEC - ancienne cle conservee\"\n fi\ndone<\/code><\/pre>\n\n\n\n\u00c9tape 12 : durcissement avanc\u00e9 du serveur SSH (sshd_config)<\/h2>\n\n\n\n
La configuration par d\u00e9faut de sshd n’est pas optimis\u00e9e pour la s\u00e9curit\u00e9 en production. Voici une configuration durcie pour 2026, qui limite les algorithmes aux plus s\u00fbrs et r\u00e9duit la surface d’attaque. Cette configuration s’aligne avec les recommandations de l’ANSSI (Agence Nationale de la S\u00e9curit\u00e9 des Syst\u00e8mes d’Information) pour la s\u00e9curisation des acc\u00e8s SSH.<\/p>\n\n\n\n
# \/etc\/ssh\/sshd_config - Configuration durcie 2026\n\n# Port non standard (r\u00e9duit le bruit des scans automatiques)\nPort 2222\n\n# \u00c9couter uniquement en IPv4 si IPv6 non n\u00e9cessaire\nAddressFamily inet\n\n# Cl\u00e9s d'h\u00f4te (Ed25519 en priorit\u00e9)\nHostKey \/etc\/ssh\/ssh_host_ed25519_key\nHostKey \/etc\/ssh\/ssh_host_rsa_key\n\n# Algorithmes d'\u00e9change de cl\u00e9s\nKexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group16-sha512\n\n# Chiffrements authentifi\u00e9s\nCiphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com\n\n# Codes d'authentification de message\nMACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com\n\n# Authentification\nPubkeyAuthentication yes\nPasswordAuthentication no\nPermitEmptyPasswords no\nKbdInteractiveAuthentication no\nUsePAM yes\n\n# Restrictions d'acc\u00e8s\nPermitRootLogin no\nAllowUsers deployer admin\nMaxAuthTries 3\nMaxSessions 5\nLoginGraceTime 30\n\n# D\u00e9sactiver les fonctionnalit\u00e9s inutiles\nX11Forwarding no\nAllowTcpForwarding no\nAllowAgentForwarding no\nPermitTunnel no\nPrintMotd no\n\n# Journalisation d\u00e9taill\u00e9e\nLogLevel VERBOSE\nSyslogFacility AUTH\n\n# Keepalive\nClientAliveInterval 300\nClientAliveCountMax 2<\/code><\/pre>\n\n\n\nValidez et rechargez :<\/p>\n\n\n\n
sudo sshd -t && sudo systemctl reload sshd<\/code><\/pre>\n\n\n\nSi vous changez le port SSH, mettez \u00e0 jour votre pare-feu. Sur Ubuntu avec ufw :<\/p>\n\n\n\n
sudo ufw allow 2222\/tcp\nsudo ufw delete allow 22\/tcp\nsudo ufw status<\/code><\/pre>\n\n\n\nComparaison des algorithmes SSH : Ed25519, RSA, ECDSA en d\u00e9tail<\/h2>\n\n\n\n
Le choix d’algorithme d\u00e9termine la r\u00e9sistance de votre cl\u00e9 SSH aux attaques actuelles et futures. Voici un tableau de d\u00e9cision complet pour 2026 :<\/p>\n\n\n\nCrit\u00e8re<\/th> Ed25519<\/th> RSA 4096<\/th> ECDSA 256<\/th> DSA 1024<\/th><\/tr><\/thead> Taille de cl\u00e9 publique<\/td> 68 octets<\/td> ~800 octets<\/td> ~180 octets<\/td> ~444 octets<\/td><\/tr> Vitesse de signature<\/td> Tr\u00e8s rapide<\/td> Lente<\/td> Rapide<\/td> Lente<\/td><\/tr> R\u00e9sistance PRNG faible<\/td> Oui (d\u00e9terministe)<\/td> Partielle<\/td> Non (vuln\u00e9rable)<\/td> Non (vuln\u00e9rable)<\/td><\/tr> Support OpenSSH depuis<\/td> 6.5 (2014)<\/td> Depuis l’origine<\/td> 5.7 (2011)<\/td> Obsol\u00e8te<\/td><\/tr> Support\u00e9 GitHub 2026<\/td> Oui<\/td> Oui<\/td> Oui<\/td> Non<\/td><\/tr> Compatibilit\u00e9 legacy<\/td> Bonne (post-2014)<\/td> Universelle<\/td> Bonne<\/td> Aucune<\/td><\/tr> Recommandation 2026<\/td> Premier choix<\/td> Compatibilit\u00e9<\/td> D\u00e9conseill\u00e9<\/td> Interdit<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nL’avantage majeur d’Ed25519 sur ECDSA repose dans son caract\u00e8re d\u00e9terministe. ECDSA g\u00e9n\u00e8re un nonce al\u00e9atoire \u00e0 chaque signature : si ce nonce est r\u00e9p\u00e9t\u00e9 ou pr\u00e9visible, la cl\u00e9 priv\u00e9e peut \u00eatre math\u00e9matiquement reconstruite. C’est exactement ce qui s’est produit avec la PlayStation 3 en 2010, dont la cl\u00e9 priv\u00e9e ECDSA a \u00e9t\u00e9 expos\u00e9e \u00e0 cause d’un nonce fixe. Ed25519 \u00e9vite ce risque par construction.<\/p>\n\n\n\n
DSA est d\u00e9sactiv\u00e9 par d\u00e9faut depuis OpenSSH 7.0 (2015) et compl\u00e8tement supprim\u00e9 depuis OpenSSH 9.0 (2022). Ne l’utilisez sous aucun pr\u00e9texte.<\/p>\n\n\n\n
5 pi\u00e8ges courants et comment les \u00e9viter<\/h2>\n\n\n\n
Ces erreurs repr\u00e9sentent la quasi-totalit\u00e9 des cas de support li\u00e9s \u00e0 la configuration SSH. V\u00e9rifiez-les syst\u00e9matiquement avant de conclure que votre configuration est d\u00e9faillante.<\/p>\n\n\n\n
Pi\u00e8ge 1 : permissions incorrectes sur les fichiers SSH<\/h3>\n\n\n\n
OpenSSH refuse de fonctionner si les permissions des fichiers SSH sont trop ouvertes. C’est la cause d’\u00e9chec la plus fr\u00e9quente, surtout apr\u00e8s une copie de fichiers ou un changement de propri\u00e9taire.<\/p>\n\n\n\nFichier \/ R\u00e9pertoire<\/th> Permission correcte<\/th> Erreur courante<\/th><\/tr><\/thead> ~\/.ssh\/<\/code><\/td>700 (drwx——)<\/td> 755 ou 777<\/td><\/tr> ~\/.ssh\/authorized_keys<\/code><\/td>600 (-rw——-)<\/td> 644 ou 777<\/td><\/tr> ~\/.ssh\/id_ed25519<\/code><\/td>600 (-rw——-)<\/td> 644 ou 755<\/td><\/tr> ~\/.ssh\/id_ed25519.pub<\/code><\/td>644 (-rw-r–r–)<\/td> 777<\/td><\/tr> ~\/.ssh\/config<\/code><\/td>600 (-rw——-)<\/td> 644 ou 755<\/td><\/tr> R\u00e9pertoire home \/home\/user<\/code><\/td>755 (drwxr-xr-x)<\/td> 777 (bloque StrictModes)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nCorrigez toutes les permissions en une seule commande :<\/p>\n\n\n\n
chmod 700 ~\/.ssh\nchmod 600 ~\/.ssh\/authorized_keys ~\/.ssh\/id_ed25519 ~\/.ssh\/config 2>\/dev\/null\nchmod 644 ~\/.ssh\/id_ed25519.pub<\/code><\/pre>\n\n\n\nPi\u00e8ge 2 : d\u00e9sactiver les mots de passe avant de tester la cl\u00e9<\/h3>\n\n\n\n
Ne modifiez jamais PasswordAuthentication no<\/code> dans sshd_config<\/code> sans avoir au pr\u00e9alable test\u00e9 la connexion par cl\u00e9 dans une session s\u00e9par\u00e9e, en gardant votre session actuelle ouverte. Si votre cl\u00e9 ne fonctionne pas et que vous coupez l’acc\u00e8s par mot de passe, vous vous retrouvez bloqu\u00e9 hors du serveur. Sur un VPS, vous aurez besoin d’acc\u00e9der \u00e0 la console de secours du fournisseur pour corriger l’erreur.<\/p>\n\n\n\nPi\u00e8ge 3 : confondre cl\u00e9 publique et cl\u00e9 priv\u00e9e<\/h3>\n\n\n\n
La cl\u00e9 publique (.pub<\/code>) se d\u00e9pose sur les serveurs dans authorized_keys<\/code>. La cl\u00e9 priv\u00e9e (sans extension) reste exclusivement sur votre machine locale. D\u00e9poser la cl\u00e9 priv\u00e9e sur un serveur repr\u00e9sente une faille de s\u00e9curit\u00e9 critique. Si cela se produit, g\u00e9n\u00e9rez imm\u00e9diatement une nouvelle paire de cl\u00e9s, d\u00e9ployez la nouvelle cl\u00e9 publique sur tous vos serveurs, et supprimez l’ancienne cl\u00e9 compromise de tous les authorized_keys<\/code>.<\/p>\n\n\n\nPi\u00e8ge 4 : r\u00e9pertoire home avec permissions incorrectes (StrictModes)<\/h3>\n\n\n\n
OpenSSH active par d\u00e9faut StrictModes yes<\/code>, qui v\u00e9rifie les permissions du r\u00e9pertoire home de l’utilisateur. Si \/home\/utilisateur<\/code> est accessible en \u00e9criture par d’autres (permission 777), SSH refuse l’authentification par cl\u00e9 m\u00eame si authorized_keys<\/code> est correctement configur\u00e9. V\u00e9rifiez :<\/p>\n\n\n\nls -ld ~\n# Attendu : drwxr-xr-x (755) ou drwx------ (700)\n# Interdit : drwxrwxrwx (777)<\/code><\/pre>\n\n\n\nPi\u00e8ge 5 : cl\u00e9 publique copi\u00e9e avec des sauts de ligne<\/h3>\n\n\n\n
Une cl\u00e9 SSH publique doit tenir sur une seule ligne dans authorized_keys<\/code>. Si vous copiez-collez depuis un \u00e9diteur de texte qui ins\u00e8re des retours \u00e0 la ligne automatiques (Word, certains \u00e9diteurs de code), la cl\u00e9 devient invalide. Utilisez toujours cat<\/code> pour afficher la cl\u00e9, et v\u00e9rifiez avec :<\/p>\n\n\n\n