Sécurité

OpenClaw est open-source.
La sécurité, elle, ne l'est pas.

N'importe qui peut installer OpenClaw. Le problème, c'est que n'importe qui peut le faire mal. Claws applique un protocole de sécurité en 12 points sur chaque installation. Voici exactement ce qu'on fait, et pourquoi ça compte.

12

points de sécurité vérifiés

0

backdoor installé

90j

garantie Zéro Backdoor

Garantie Zéro Backdoor

Une faille dans notre installation dans les 90 jours ? On revient gratuitement la corriger. Sans discussion.

En savoir plus →

Le problème

Ce qui cloche dans une installation DIY.

OpenClaw est puissant. Mal configuré, il devient un vecteur d'attaque. Voici les erreurs les plus fréquentes, et les plus dangereuses.

Port gateway exposé sur le réseau

Si le gateway OpenClaw est configuré pour écouter sur 0.0.0.0 au lieu de 127.0.0.1, n'importe qui sur votre réseau local (ou internet si le routeur est mal configuré) peut interagir avec votre agent.

Critique

Panneau admin accessible publiquement

Certaines installations DIY exposent le panneau de configuration sur un port non sécurisé. Sans authentification, c'est une porte d'entrée directe.

Critique

Clés API en clair dans les fichiers

Stocker les clés API directement dans les fichiers de config (et non en variables d'environnement) expose ces clés à tout script ou malware ayant accès au répertoire.

Élevé

Skills communautaires non vérifiés

Les skills tiers peuvent contenir du code malveillant. Sans audit préalable, installer un skill communautaire revient à exécuter du code inconnu avec les permissions de votre agent.

Élevé

Permissions trop larges accordées à l'agent

Un agent configuré avec un accès en écriture à l'ensemble du système de fichiers est un risque. Une erreur de l'agent ou une compromission peut avoir des conséquences irréversibles.

Moyen
Lire l'article complet : les 8 erreurs qui exposent votre machine →

Le protocole Claws

12 points. Chaque installation. Sans exception.

Pas une checklist marketing. Un protocole technique appliqué point par point, vérifiable après installation.

01

Full-disk encryption activé

FileVault 2 / LUKS

FileVault (macOS) ou LUKS (Linux) activé avant toute installation. Si la machine est volée, les données sont illisibles sans le mot de passe de déchiffrement.

02

Gateway en loopback uniquement

bind: loopback

Le gateway OpenClaw écoute exclusivement sur 127.0.0.1. Il n'est jamais exposé sur le réseau local ou internet. Zéro accès depuis l'extérieur par défaut.

03

Permissions fichiers strictes

chmod 600/700

Les fichiers de configuration (clés API, tokens) sont en 600. Les répertoires en 700. Seul l'utilisateur propriétaire peut lire ces fichiers. Aucun autre utilisateur système n'y a accès.

04

Zéro backdoor, zéro monitoring distant

Vérifiable post-installation

Claws n'installe aucun outil d'accès distant, aucun agent de monitoring, aucune télémétrie. Une fois l'installation terminée, votre machine est 100% à vous. Nous n'y avons plus accès.

05

Clés API en variables d'environnement

.env.local · gitignore

Les clés API (Anthropic, Brevo, etc.) ne sont jamais stockées en clair dans les fichiers de configuration. Elles sont stockées dans des variables d'environnement chiffrées, hors du dépôt Git.

06

Skills officiels uniquement

Registre officiel openclaw.ai

Seuls les skills du registre officiel OpenClaw sont installés. Aucun skill communautaire non audité. Chaque skill est vérifié avant installation.

07

Rotation des credentials partagés

Rotation post-install systématique

Tous les tokens et clés API créés pendant l'installation sont régénérés à la fin du setup. Les credentials utilisés pour la configuration ne survivent pas à l'installation.

08

Pare-feu applicatif configuré

pf (macOS) · UFW (Linux)

Le pare-feu macOS ou UFW (Linux) est activé et configuré pour bloquer tous les ports entrants non nécessaires. Seuls les ports explicitement requis par OpenClaw sont ouverts, en local uniquement.

09

Audit des permissions d'accès

Checklist de validation client

Avant de finaliser l'installation, chaque permission accordée à l'agent est documentée et validée avec vous : quels dossiers, quelles boites mail, quels outils. Rien d'implicite.

10

Mise à jour automatique désactivée par défaut

Mises à jour manuelles validées

Les mises à jour automatiques d'OpenClaw sont désactivées. Chaque mise à jour est testée par Claws avant d'être déployée chez vous. Pas de breaking change surprise.

11

Log des actions de l'agent

Logs locaux consultables

Chaque action exécutée par l'agent est loguée localement avec horodatage. Vous pouvez auditer ce que l'agent a fait à tout moment. La transparence est totale.

12

Test de pénétration basique post-install

nmap · Vérification réseau

Après chaque installation, Claws effectue un scan basique des ports exposés et vérifie que le gateway n'est pas accessible depuis l'extérieur. Le résultat vous est communiqué.

Offre exclusive

Vous avez installé OpenClaw vous-même ?

On audite votre configuration gratuitement en 30 minutes. On vous dit exactement ce qui est exposé, ce qui doit être corrigé, et comment. Sans engagement.

Demander un audit gratuit →FAQ Sécurité

Installé blindé. Garanti 90 jours.

À partir de 189€. Installation en 48h. Protocole Claws appliqué systématiquement.

Démarrer →