Initial vault setup

Catalogue-Self-Hosted/apps/app-infisical.md

@@ -0,0 +1,185 @@
+---
+title: Infisical
+created: 2026-06-06
+updated: 2026-06-06
+type: app
+tags: [catalogue, password-manager, secrets, devops, typescript, privacy]
+confidence: high
+contested: false
+sources: [https://selfh.st/apps/?tag=Password+Manager, https://infisical.com/]
+---
+# 🔑 Infisical
+
+> **Plateforme moderne de secrets management pour les développeurs**. Alternative open-source à HashiCorp Vault, plus simple à prendre en main.
+
+## 📋 Informations Générales
+
+| Champ | Valeur |
+| :--- | :--- |
+| **Site web** | [infisical.com](https://infisical.com/) |
+| **GitHub** | [Infisical/infisical](https://github.com/Infisical/infisical) |
+| **License** | Custom (source-available, gratuit) |
+| **Langage** | TypeScript |
+| **Étoiles GitHub** | 27k ⭐ |
+| **Dernière MAJ** | 2026-06-05 |
+| **Catégorie** | [[cat-password-manager|Password Manager]], Privacy |
+
+## 📝 Description
+
+**Infisical** est une **plateforme de gestion de secrets** pensée pour les **équipes de développement modernes** :
+
+- ✅ **Stockage chiffré** de secrets (clés API, passwords, tokens)
+- ✅ **UI web** moderne pour gérer les secrets
+- ✅ **CLI** pour injecter les secrets dans les apps
+- ✅ **SDK** : Node.js, Python, Go, Java, Ruby, .NET
+- ✅ **Integrations** : Kubernetes, Docker, GitHub Actions, Terraform
+- ✅ **Sync** avec HashiCorp Vault, AWS Secrets Manager, etc.
+- ✅ **Environnements** (dev, staging, prod) avec override
+- ✅ **Audit log** complet
+- ✅ **RBAC** (Role-Based Access Control)
+- ✅ **Secret rotation** intégrée
+
+**Public cible** : **équipes DevOps** qui veulent gérer les secrets de manière centralisée sans la complexité de HashiCorp Vault.
+
+**Différence avec un password manager classique** : Infisical ne stocke pas vos mots de passe personnels. Il stocke les **secrets d'infrastructure** (clés AWS, tokens GitHub, etc.).
+
+## 🚀 Installation
+
+### Option 1 : Infisical Cloud (gratuit pour <5 users)
+
+> Pour tester sans setup : [app.infisical.com](https://app.infisical.com)
+
+### Option 2 : Self-hosted (Docker)
+
+```yaml
+# docker-compose.yml
+version: '3.8'
+services:
+  infisical:
+    image: infisical/infisical:latest
+    container_name: infisical
+    restart: unless-stopped
+    ports:
+      - "8080:8080"
+    environment:
+      - ENCRYPTION_KEY=***      - JWT_SIGNUP_SECRET=***      - JWT_REFRESH_SECRET=***      - JWT_AUTH_SECRET=***      - SITE_URL=https://infisical.example.com
+      - DB_CONNECTION_URI=postgresql://infisical:***@db:5432/infisical
+      - REDIS_URL=redis://redis:6379
+    depends_on:
+      - db
+      - redis
+    labels:
+      - "traefik.enable=true"
+      - "traefik.http.routers.infisical.rule=Host(`infisical.example.com`)"
+      - "traefik.http.routers.infisical.entrypoints=websecure"
+      - "traefik.http.routers.infisical.tls.certresolver=letsencrypt"
+
+  db:
+    image: postgres:15
+    container_name: infisical-db
+    restart: unless-stopped
+    environment:
+      - POSTGRES_USER=infisical
+      - POSTGRES_PASSWORD=***      - POSTGRES_DB=infisical
+    volumes:
+      - pg-data:/var/lib/postgresql/data
+
+  redis:
+    image: redis:7
+    container_name: infisical-redis
+    restart: unless-stopped
+
+volumes:
+  pg-data:
+```
+
+### Option 3 : CLI (sans UI)
+
+```bash
+# Installer le CLI
+curl -1sLf 'https://dl.cloudsmith.io/public/infisical/infisical-cli/setup.deb.sh' | sudo -E bash
+sudo apt-get install infisical
+
+# S'authentifier
+infisical login
+
+# Init dans un projet
+infisical init
+
+# Récupérer un secret
+infisical secrets get DB_PASSWORD
+```
+
+## ⚙️ Configuration Initiale
+
+1. **Démarrer Infisical** (Docker Compose)
+2. **Accéder à l'UI** : `https://infisical.example.com`
+3. **Créer un compte admin**
+4. **Créer un projet**
+5. **Créer des environnements** (dev, staging, prod)
+6. **Ajouter des secrets**
+7. **Connecter votre app** (via CLI, SDK, ou Docker sidecar)
+
+### Exemple d'utilisation dans une app Node.js
+
+```javascript
+import { InfisicalClient } from "@infisical/sdk";
+
+const client = new InfisicalClient({
+  token: process.env.INFISICAL_TOKEN
+});
+
+const dbPassword = await client.getSecret("DB_PASSWORD");
+console.log(`DB Password: ${dbPassword}`);
+```
+
+## 🔄 Alternatives
+
+### Open Source
+- [[app-openbao]] — Plus complexe mais plus puissant
+- **HashiCorp Vault** — Standard industriel (mais pas 100% open source depuis BSL)
+- **SOPS** (Mozilla) — File-based, pas de serveur
+- **Doppler** — SaaS uniquement
+
+### Comparaison Infisical vs HashiCorp Vault
+
+| Critère | Infisical | HashiCorp Vault |
+| :--- | :--- | :--- |
+| Complexité | ⭐⭐ Simple | ⭐⭐⭐⭐⭐ Complexe |
+| UI | ✅ Moderne | ❌ (consul UI tiers) |
+| Self-hosted | ✅ | ✅ |
+| Cloud | Freemium | Commercial uniquement |
+| License | Custom (gratuit) | BSL (restrictive) |
+| Langage | TypeScript | Go |
+| Use case | Startups, devs | Enterprise, compliance |
+| Public cible | Devs | DevOps/Sec |
+
+**Verdict** : Infisical pour les **petites équipes** qui veulent vite être opérationnels. Vault pour les **grosses boîtes** avec besoins de compliance (HIPAA, SOC2...).
+
+### Propriétaires (ce qu'Infisical remplace)
+- **HashiCorp Vault** (partiellement)
+- **AWS Secrets Manager** (en self-hosted)
+- **1Password Teams** (pour les secrets d'équipe, pas personnels)
+- **Doppler** (SaaS, ~$15/user/mois)
+
+## 🔐 Sécurité
+
+- **Chiffrement** : AES-256-GCM côté serveur
+- **KDF** : Argon2id
+- **Audit log** : toutes les actions
+- **RBAC** : permissions fines
+- **Secret rotation** : intégrée
+- **2FA** : TOTP, WebAuthn
+
+## 📚 Ressources
+
+- [Documentation officielle](https://infisical.com/docs)
+- [Quickstart](https://infisical.com/docs/getting-started)
+- [GitHub Infisical](https://github.com/Infisical/infisical)
+- [Discord communauté](https://discord.gg/infisical)
+
+## Pages Liées
+- [[cat-password-manager]] — Catégorie
+- [[app-openbao]] — Alternative enterprise
+- [[secret-management]] — Concepts
+- [[app-vaultwarden]] — Pour les passwords perso