Guide - Sécurité

Comment sécuriser votre Mac dans le cloud : clés SSH, pare-feu et VPN

Un guide pratique, pas à pas, pour renforcer votre serveur Mac dédié — authentification par clé SSH sans mot de passe, pare-feu macOS verrouillé, VPN WireGuard privé et liste de contrôle de sécurité continue.

12 min de lecture Mis à jour en juin 2026

Table des matières

  1. 1. Pourquoi renforcer votre Mac dans le cloud ?
  2. 2. Prérequis
  3. 3. Étape 1 : authentification par clé SSH
  4. 4. Étape 2 : verrouiller le pare-feu
  5. 5. Étape 3 : VPN privé (WireGuard)
  6. 6. Étape 4 : renforcement continu
  7. 7. Dépannage
  8. 8. Liste de contrôle de sécurité

1. Pourquoi renforcer votre Mac dans le cloud ?

Un serveur Mac dédié est accessible depuis l'internet public dès l'instant où il est provisionné. L'accès par nom d'utilisateur et mot de passe est pratique, mais les mots de passe peuvent être attaqués par force brute et les ports de gestion ouverts attirent les attaques automatisées. La bonne nouvelle : quelques étapes bien maîtrisées — clés SSH, pare-feu strict et VPN privé — éliminent la grande majorité de ce risque. Chaque serveur MyRemoteMac prend déjà en charge l'authentification par clé, un pare-feu géré et un VPN WireGuard par défaut.

Défense en profondeur : aucun contrôle isolé ne suffit. En combinant le SSH par clé, un pare-feu qui refuse tout par défaut et une gestion exclusivement via VPN, vous obligez un attaquant à franchir plusieurs couches indépendantes.

2. Prérequis

Avant de commencer, assurez-vous de disposer de :

  • Un serveur Mac de MyRemoteMac avec accès SSH
  • Un client SSH sur votre machine locale (intégré à macOS, Linux et aux versions modernes de Windows)
  • L'adresse IP de votre serveur et ses identifiants par défaut
  • Une aisance de base avec le terminal

3. Étape 1 : authentification par clé SSH

L'authentification par clé remplace un mot de passe devinable par une paire de clés cryptographiques. Vous conservez la clé privée ; le serveur ne stocke que votre clé publique, de sorte qu'il n'y a aucun mot de passe à attaquer par force brute.

Générer une paire de clés

Sur votre machine locale, générez une clé Ed25519 moderne (ignorez cette étape si vous en avez déjà une) :

# Generate a modern Ed25519 key pair on your LOCAL machine
ssh-keygen -t ed25519 -C "you@example.com"

# Print the PUBLIC key (this is what you give the server)
cat ~/.ssh/id_ed25519.pub
# ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAA... you@example.com

Ajouter votre clé publique, puis désactiver les mots de passe

Dans votre tableau de bord MyRemoteMac, ouvrez Sécurité et collez votre clé publique — ou sélectionnez-la lors du provisionnement d'un nouveau serveur. Une fois que vous avez confirmé que la connexion par clé fonctionne, désactivez l'authentification par mot de passe :

# On the SERVER, disable password login once your key works
sudo sed -i '' 's/^#*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo sed -i '' 's/^#*ChallengeResponseAuthentication.*/ChallengeResponseAuthentication no/' /etc/ssh/sshd_config

# Restart the SSH daemon to apply
sudo launchctl kickstart -k system/com.openssh.sshd

4. Étape 2 : verrouiller le pare-feu

N'exposez que ce dont vous avez besoin. MyRemoteMac inclut un pare-feu réseau géré, et vous devriez également activer le pare-feu applicatif de macOS sur l'hôte pour une seconde couche.

Activer le pare-feu applicatif de macOS

# Enable the built-in macOS application firewall
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on

# Enable stealth mode (don't respond to pings / closed-port probes)
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on

# Verify
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate

Restreindre les ports entrants

Dans le pare-feu géré de MyRemoteMac (tableau de bord ou API), autorisez le trafic entrant uniquement sur les ports que vous utilisez réellement — généralement SSH (22) restreint à votre IP ou à votre VPN — et refusez tout le reste par défaut.

5. Étape 3 : VPN privé (WireGuard)

La posture la plus solide consiste à ne jamais exposer publiquement les ports de gestion. Chaque serveur MyRemoteMac inclut un tunnel WireGuard/IPSec privé : connectez-vous-y d'abord, puis accédez à SSH et VNC via le réseau privé.

# Bring up the WireGuard tunnel from your local machine
wg-quick up wg0

# Now reach your Mac over the PRIVATE address, not its public IP
ssh you@10.0.0.2

Une fois le tunnel établi, restreignez SSH et VNC dans votre pare-feu au seul sous-réseau du VPN. Votre Mac devient alors invisible pour les scanners de ports publics.

6. Étape 4 : renforcement continu

La sécurité est un processus continu, pas une tâche ponctuelle. Appliquez ces mesures durables :

  • Maintenez macOS à jour — installez rapidement les mises à jour de sécurité pour combler les vulnérabilités connues.
  • Activez FileVault — le chiffrement intégral du disque protège vos données au repos.
  • Utilisez un utilisateur administrateur non-root — travaillez via sudo plutôt qu'en vous connectant en tant que root.
  • Faites tourner et limitez vos clés SSH — supprimez les clés que vous n'utilisez plus depuis Sécurité.
  • Surveillez les journaux d'authentification — repérez les échecs de connexion et les sessions inattendues.
  • Sauvegardez régulièrement — associez le renforcement à des sauvegardes hors site pour résister aux rançongiciels.

7. Dépannage

Bloqué après avoir désactivé la connexion par mot de passe

Reconnectez-vous via VNC / Partage d'écran depuis le tableau de bord, réactivez temporairement la connexion par mot de passe et vérifiez que votre clé publique se trouve bien dans ~/.ssh/authorized_keys avec les bonnes permissions (700 sur ~/.ssh, 600 sur le fichier).

SSH demande toujours un mot de passe

Vérifiez les permissions : ~/.ssh doit être en 700 et authorized_keys en 600. Confirmez que sshd_config a PubkeyAuthentication réglé sur yes, et que vous présentez bien la clé privée correspondante avec ssh -i.

Bloqué par une règle de pare-feu

Gardez toujours une session VNC / Partage d'écran ouverte pendant que vous modifiez les règles de pare-feu. Si vous perdez l'accès SSH, utilisez VNC pour annuler la règle, puis réappliquez-la en la limitant à votre sous-réseau VPN.

8. Liste de contrôle de sécurité

Parcourez cette liste de contrôle après le provisionnement de chaque nouveau serveur Mac :

  • Authentification par clé SSH activée
  • Connexion par mot de passe désactivée (ou restreinte au VPN)
  • Pare-feu applicatif de macOS activé avec le mode furtif
  • Ports entrants refusés par défaut ; SSH et VNC limités au VPN
  • FileVault activé et macOS à jour
  • Clés SSH inutilisées supprimées et sauvegardes hors site configurées

En résumé : SSH par clé, connexion par mot de passe désactivée, pare-feu qui refuse tout par défaut, gestion via VPN, FileVault activé et clés renouvelées régulièrement. Faites-le une fois et votre Mac dans le cloud devient nettement plus difficile à attaquer.

Guides associés

Développement Xcode à distance

Mettez en place un flux de travail Xcode distant rapide et productif sur un Mac dédié.

Développer pour iOS sans Mac

Compilez et publiez des applications iOS depuis Windows ou Linux à l'aide d'un Mac distant.

Agent de build Jenkins sur Mac

Configurez un agent de build Jenkins sécurisé sur un Mac Mini dédié.

Déployez un Mac sécurisé en quelques minutes

Chaque serveur MyRemoteMac est livré avec l'authentification par clé SSH, un pare-feu géré et un VPN WireGuard inclus. À partir de $75/mois.

Voir les tarifs Découvrir la sécurité