Fail2ban a 18 ans en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer), et il montre son âge : configuration en regex, pas de partage entre serveurs, blocage uniquement local. CrowdSec est l’alternative moderne open source qui s’est imposée chez les sysadmins francophones d’Afrique de l’Ouest et du Maghreb : détection comportementale, blocklist communautaire mise à jour en temps réel par 100 000+ machines mondiales (4 millions d’IP malicieuses connues), bouncers pour Caddy, Nginx, Cloudflare, AWS WAF. Auto-hébergé gratuit, ou plan Premium à 7 USD/mois pour les blocklists premium. Réduit le bruit dans vos logs de 90% en quelques jours.
Sommaire
- Pourquoi CrowdSec en 2026
- Concepts fondamentaux
- Vue d’ensemble pratique
- Tutoriels du cluster
- Cas d’usage
- Adaptation au contexte ouest-africain
- Erreurs fréquentes
- FAQ
Pourquoi CrowdSec domine en 2026
Cinq raisons concrètes expliquent l’adoption massive.
Détection comportementale. Fail2ban regex sur les logs (« 5 échecs SSH = ban »). CrowdSec analyse les comportements (« cette IP scan le port 22, le 80, le 443 puis tente login admin = ban »). Précision largement supérieure, faux positifs négligeables.
Blocklist communautaire. Chaque alerte locale est partagée (anonymisée) avec la communauté CrowdSec. Le serveur central agrège, filtre, et redistribue une blocklist consensus mise à jour toutes les heures. Vos serveurs bénéficient des attaques détectées sur 100 000+ autres machines. Réduction des attaques nouvelles de 70-90% selon retours terrain.
Bouncers multi-couches. CrowdSec détecte. Les bouncers bloquent à différents niveaux : Caddy/Nginx (HTTP), iptables (TCP), Cloudflare (Edge), AWS WAF (Cloud). Vous choisissez où bloquer selon votre stack.
Performance. Écrit en Go, agent CrowdSec consomme 30-80 Mo RAM. Bouncer iptables mise à jour en temps réel sans restart. Sur Hetzner CX23 (4 Go RAM), aucun impact perceptible.
Multi-stack. Parsers prêts pour : SSH, Caddy, Nginx, Apache, Postfix, Dovecot, MySQL, MongoDB, WordPress, Vaultwarden, Forgejo, Coolify. La majorité de votre stack auto-hébergée est couverte out-of-the-box.
Concepts fondamentaux
Architecture en trois composants
- Agent CrowdSec : analyse les logs, applique scénarios de détection, génère des alertes. Écrit en Go.
- LAPI (Local API) : reçoit les alertes, gère les décisions (ban, captcha), partage avec CAPI (Central API).
- Bouncers : composants externes qui appliquent les décisions. Caddy bouncer, Nginx bouncer, iptables bouncer, Cloudflare bouncer, etc.
Hub : parsers, scenarios, postoverflows
Le Hub CrowdSec est un repository GitHub avec 200+ collections de :
- Parsers : transforment les logs bruts en événements structurés.
- Scenarios : règles de détection comportementale.
- Postoverflows : enrichissement (whitelist IPs, scoring).
- Collections : packs prêts à l’emploi (collection « linux », « caddy », « mysql »).
Decisions : ban, captcha, throttle
Quand un scenario match, l’agent crée une decision : ban (blocage complet), captcha (challenge utilisateur), throttle (rate limiting). Durée configurable (1 heure, 1 jour, 1 semaine, 4 mois).
CAPI : Central API et blocklists
L’agent envoie ses alertes (anonymisées) à la CAPI CrowdSec. CAPI agrège et calcule un consensus. Les blocklists communautaires sont téléchargées par votre agent toutes les heures. Vos serveurs bénéficient des attaques détectées partout.
Console CrowdSec (Cloud)
Dashboard web gratuit (jusqu’à 3 machines) : visualiser alertes en temps réel, top attaquants, géolocation, scenarios déclenchés. URL app.crowdsec.net. Optionnel, n’envoie pas vos logs.
Vue d’ensemble pratique
1. Installation agent + LAPI sur chaque VPS
Une commande sur Debian/Ubuntu installe agent + LAPI + collections par défaut. Voir Déployer CrowdSec sur VPS.
2. Bouncers pour votre stack
Selon votre reverse proxy : Configurer bouncers Caddy et Nginx.
3. Protéger Vaultwarden, Forgejo, WordPress
Collections dédiées à activer. Voir Protéger Vaultwarden, Forgejo, WordPress avec CrowdSec.
4. Multi-VPS centralisé
Pour 5+ VPS, configurer un LAPI central + agents distribués. Voir CrowdSec multi-serveurs avec LAPI central.
Tutoriels du cluster CrowdSec
- Installer CrowdSec sur VPS Debian/Ubuntu
- Configurer bouncers Caddy et Nginx
- Protéger Vaultwarden, Forgejo, WordPress
- CrowdSec multi-serveurs avec LAPI central
Cas d’usage
VPS unique avec WordPress
Blog WordPress sur Hetzner CX23 à Casablanca : CrowdSec analyse logs Caddy, NGINX, et auth.log. Détecte 200-500 tentatives SSH par jour, 50-200 brute-force WordPress. Blocklist communautaire bloque 90% en amont. Logs deviennent lisibles.
Cluster Coolify + 10 apps
VPS Hetzner CCX23 avec Coolify, Vaultwarden, Forgejo, Outline, Plausible, Immich. CrowdSec couvre toute la stack. Aucune attaque ne passe inaperçue.
Mail server Mailcow
Mailcow exposé attire les bots. CrowdSec collection postfix+dovecot+rspamd : détecte spam, brute-force IMAP, smurf. Réduit la charge serveur de 40-60%.
API publique fintech
API Wave-like ouverte au public : CrowdSec rate-limit + détection scrape + signature attack patterns. Protection sans WAF cloud coûteux.
Multi-VPS ESN
ESN à Tunis avec 8 VPS clients : LAPI central + agents distribués. Vue unifiée sur Console. Décisions partagées entre serveurs (IP banni sur VPS A → banni partout).
Adaptation au contexte ouest-africain
Quatre adaptations spécifiques.
Coût. CrowdSec gratuit en self-hosted. 0 USD/mois vs Cloudflare Pro WAF (240 USD/an), Sucuri (199 USD/an/site), AWS Shield Advanced (3 000 USD/mois). Économies massives pour PME africaines.
Exclusion d’IPs locales. Whitelist explicite des IPs bureau, IPs partenaires, IPs critiques pour éviter blocages accidentels. Wave/Orange Money payment APIs viennent d’IPs spécifiques à whitelister.
Détection trafic suspect géo. Scenarios géo pour bloquer accès admin depuis pays à risque (Russie, Iran, Corée du Nord). Garder accès depuis Sénégal, Côte d’Ivoire, Maroc, Tunisie naturellement.
Conformité. Logs enrichis CrowdSec aident audit ARTCI, CDP, NESA. Décisions documentées avec timestamp + scenario + IP origine.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Faux positifs admins bloqués | Pas de whitelist | Whitelist par IP fixe ou range bureau |
| Bouncer bloque trop tard | Cache iptables non rafraîchi | Vérifier interval bouncer (60s par défaut) |
| Logs non parsés | Format date différent | Customiser parser collection |
| Communautaire pas téléchargée | Pas inscrit | cscli capi register |
| Multi-VPS désynchronisé | LAPI central pas joignable | Tunnel Tailscale entre VPS |
| Cloudflare bouncer 429 | API rate limit | Plan Pro Cloudflare ou batch updates |
FAQ
CrowdSec remplace-t-il Fail2ban ? Oui complètement. Migration recommandée : désactiver Fail2ban, installer CrowdSec.
Compatible WAF Cloudflare ? Bouncer Cloudflare envoie les bans à votre Cloudflare account, qui bloque à l’edge. Combine self-hosted + edge protection.
Console gratuite ? Oui jusqu’à 3 machines. Au-delà 7 USD/machine/mois.
Performance ? Agent : 30-80 Mo RAM. Bouncer iptables : <1 Mo. Aucun impact mesurable.
Compatible IPv6 ? Oui complet, parsers et bouncers IPv6.
Mises à jour ? apt upgrade ou docker pull. Configurations préservées.
RGPD ? CrowdSec partage uniquement IP + scenario + timestamp avec CAPI. Pas de données personnelles. Conforme RGPD.
Pour aller plus loin
- Démarrer maintenant : Installer CrowdSec sur VPS
- Documentation officielle : docs.crowdsec.net
- Hub : hub.crowdsec.net
Comparaison face aux alternatives 2026
| Solution | Coût | Auto-hébergé | Détection | Communautaire |
|---|---|---|---|---|
| CrowdSec | 0 € (self-hosted) | Oui | Comportementale | 4M IP partagées |
| Fail2ban | 0 € | Oui | Regex | Aucune |
| Wazuh | 0 € (self-hosted) | Oui | SIEM complet | Limited |
| Cloudflare WAF Pro | 240 USD/an/domaine | Non | Edge | Cloudflare |
| AWS Shield Advanced | 3 000 USD/mois | Non | Cloud | AWS |
| Sucuri | 200 USD/an/site | Non | Edge + Cloud | Sucuri |