DocsSécuritéCoffre-fort d'identifiants
Retour à la doc
Sécurité

Coffre-fort d'identifiants

Stockez et gerez de maniere securisee vos cles API, cles SSH et tokens avec le coffre-fort chiffre integre de YeePilot

Dernière mise à jour: 1 mars 2026

YeePilot inclut un coffre-fort chiffre integre pour stocker tous vos identifiants sensibles -- cles API, cles SSH, tokens et mots de passe. Le coffre-fort garde vos secrets chiffres au repos et ne les dechiffre que lorsque vous le deverrouillez explicitement.

Pour commencer

Initialiser le coffre-fort

Configurez le coffre-fort avec un mot de passe principal :

bash
yeepilot vault init

Vous serez invite a :

  1. Choisir une methode de deverrouillage (mot de passe, PIN, YubiKey ou YubiKey+PIN)
  2. Definir votre identifiant principal
  3. Confirmer l'identifiant

Le coffre-fort est cree et immediatement pret a l'emploi.

Verifier l'etat du coffre-fort

bash
yeepilot vault status

Cela affiche si le coffre-fort est initialise, verrouille ou deverrouille, le nombre d'identifiants stockes et votre methode de deverrouillage configuree.

Stocker des identifiants

Ajouter un identifiant

bash
yeepilot vault add

Vous serez invite a saisir :

  • Nom -- un libelle descriptif (ex. "production-db-password", "aws-api-key")
  • Type -- le type d'identifiant (cle API, cle SSH, mot de passe, token)
  • Valeur -- le secret lui-meme (la saisie est masquee)

Exemple :

bash
$ yeepilot vault add
Name: digitalocean-api-token
Type: API key
Value: ****
Identifiant stocke avec succes.

Lister les identifiants stockes

bash
yeepilot vault list

Cela affiche les noms et types de tous les identifiants stockes sans reveler leurs valeurs :

plaintext
Identifiants dans le coffre-fort :
  1. digitalocean-api-token    (cle API)
  2. production-db             (mot de passe)
  3. deploy-server             (cle SSH)
  4. github-pat                (token)

Deverrouillage et verrouillage

Deverrouiller le coffre-fort

bash
yeepilot vault unlock

Vous serez invite a saisir votre identifiant principal. Une fois deverrouille, les identifiants sont disponibles pour une utilisation dans les sessions YeePilot.

Deverrouillage et verrouillage en session

Pendant une session interactive YeePilot, utilisez les commandes slash :

plaintext
/unlock              # Deverrouiller avec invite de mot de passe principal
/unlock mypassword   # Deverrouiller directement avec le mot de passe (utiliser avec precaution)
/lock                # Verrouiller le coffre-fort immediatement

Verrouillage automatique

Le coffre-fort se verrouille automatiquement apres une periode d'inactivite pour proteger vos identifiants si vous vous eloignez :

yaml
vault:
  auto_lock_duration: 15m    # Verrouiller apres 15 minutes d'inactivite (par defaut)

Ajustez la duree ou desactivez le verrouillage automatique :

yaml
vault:
  auto_lock_duration: 30m    # Verrouiller apres 30 minutes
  auto_lock_duration: 0      # Desactiver le verrouillage automatique (non recommande)

Methodes de deverrouillage

YeePilot supporte plusieurs methodes de deverrouillage pour correspondre a vos exigences de securite :

Mot de passe

La methode par defaut. Definissez un mot de passe principal fort lors de vault init.

bash
yeepilot vault init
# Choisir : password
# Saisir le mot de passe : ********

PIN

Un PIN numerique pour un deverrouillage plus rapide. Mieux adapte aux environnements de developpement.

bash
yeepilot vault init
# Choisir : PIN
# Saisir le PIN : ******

YubiKey

Authentification basee sur le materiel utilisant une cle de securite YubiKey. Fournit la protection la plus forte car le coffre-fort ne peut pas etre deverrouille sans la possession physique de la cle.

bash
yeepilot vault init
# Choisir : YubiKey
# Touchez votre YubiKey lorsque vous y etes invite...

YubiKey + PIN

Combine l'authentification materielle avec un PIN pour une protection a deux facteurs. La YubiKey physique et le PIN correct sont tous deux necessaires pour deverrouiller le coffre-fort.

bash
yeepilot vault init
# Choisir : YubiKey+PIN
# Saisir le PIN : ******
# Touchez votre YubiKey lorsque vous y etes invite...

Utiliser les identifiants

Connexions SSH

Connectez-vous aux serveurs en utilisant les cles SSH stockees dans le coffre-fort :

bash
yeepilot vault connect

Vous verrez une liste de cles SSH stockees parmi lesquelles choisir. YeePilot etablit la connexion en utilisant la cle selectionnee sans l'ecrire sur le disque.

Cles de fournisseur IA

Lorsque vous stockez les cles API de fournisseurs IA dans le coffre-fort, YeePilot peut les recuperer automatiquement lors du demarrage d'une session, de sorte que vous n'avez pas besoin de garder les cles API dans votre fichier de configuration.

Acces en session

Pendant une session interactive, si le coffre-fort est deverrouille, l'IA peut referencer les identifiants stockes lorsque vous lui demandez d'effectuer des taches qui en ont besoin. Par exemple :

plaintext
> Deployer la derniere version sur le serveur de production en utilisant la cle SSH deploy-server

YeePilot recupere la cle SSH du coffre-fort et l'utilise pour la connexion, sans jamais exposer la cle dans le terminal ou l'historique des commandes.

Rotation des identifiants

Effectuez la rotation des identifiants qui necessitent des mises a jour periodiques :

bash
yeepilot vault rotate

Cela vous guide pour selectionner un identifiant et le remplacer par une nouvelle valeur. L'ancienne valeur est ecrasee de maniere securisee.

Protection contre la force brute

Le coffre-fort inclut une protection contre les tentatives de deverrouillage par force brute :

  • Apres chaque tentative echouee, le delai avant la tentative suivante augmente
  • Apres 15 tentatives consecutives echouees, le coffre-fort peut optionnellement effacer tous les identifiants stockes

Cela protege vos secrets meme si quelqu'un accede a votre session terminal.

Configurez le comportement d'effacement :

yaml
vault:
  wipe_after_failed_attempts: 15    # Effacer apres 15 echecs (par defaut)
  wipe_after_failed_attempts: 0     # Desactiver l'effacement (verrouiller definitivement a la place)

Avertissement : Lorsque l'effacement est active, depasser la limite de tentatives echouees detruit definitivement tous les identifiants stockes. Assurez-vous d'avoir des sauvegardes des secrets critiques stockees en lieu sur.

Reference de configuration

Configuration complete du coffre-fort dans ~/.yeepilot/config.yaml :

yaml
vault:
  enabled: true                      # Activer le coffre-fort d'identifiants
  start_locked: true                 # Demarrer les sessions avec le coffre-fort verrouille (par defaut : true)
  auto_lock_duration: 15m            # Verrouillage automatique apres inactivite (par defaut : 15m)
  wipe_after_failed_attempts: 15     # Effacer apres N echecs de deverrouillage (0 pour desactiver)

Bonnes pratiques

  • Utilisez un mot de passe principal fort -- votre coffre-fort n'est aussi securise que son identifiant de deverrouillage
  • Activez le verrouillage automatique -- gardez toujours le verrouillage automatique active, surtout sur les serveurs partages ou de production
  • Preferez YubiKey pour la production -- le deverrouillage materiel fournit la meilleure protection contre la compromission a distance
  • Effectuez regulierement la rotation des identifiants -- utilisez yeepilot vault rotate pour mettre a jour les secrets selon un calendrier
  • Gardez des sauvegardes -- la protection par effacement du coffre-fort est un dernier recours ; maintenez toujours des sauvegardes securisees des identifiants critiques
  • Demarrez verrouille -- gardez start_locked: true pour que les identifiants ne soient jamais disponibles sans authentification explicite
Précédent

Sandbox et isolation d'execution

Security

Suivant

Reference de configuration

Configuration