Page informative, sans valeur de conseil. Téléchargez depuis la source officielle, vérifiez la licence (n8n n'est pas open source au sens OSI — voir plus bas), et gardez en tête que n8n exécute du code et déclenche des actions réelles sur vos systèmes : testez en isolé avant toute mise en production.
À quoi ça sert
n8n permet de construire des chaînes d'actions automatiques déclenchées par un événement : un message reçu, un formulaire soumis, un appel webhook, une heure précise. L'éditeur relie des nœuds — chaque nœud réalise une opération (appeler une API, transformer des données, écrire en base, envoyer un e-mail). On obtient un pipeline lisible, versionnable et rejouable, sans écrire une application de bout en bout.
Le catalogue compte plusieurs centaines d'intégrations natives, plus des nœuds génériques HTTP Request (pour parler à n'importe quelle API REST) et Code (pour du JavaScript ou du Python sur mesure). Côté IA, n8n intègre des nœuds dédiés — AI Agent, Chat Model, Vector Store — qui se branchent aussi bien sur un modèle local via Ollama que sur un provider cloud.
Ce qui fait sa force
- Auto-hébergeable, données maîtrisées. Contrairement aux SaaS d'automatisation, n8n s'exécute sur votre infrastructure. Les données traitées et les identifiants ne transitent pas par un tiers — un argument central pour qui manipule des informations sensibles.
- Le nœud Code, sans quitter le visuel. Là où la plupart des outils no-code bloquent dès qu'un cas sort du cadre, n8n laisse écrire du JavaScript ou du Python dans un nœud, au milieu du workflow. On garde le confort visuel et la puissance du code réel.
- Un vrai moteur de workflows. Branches conditionnelles, boucles, fusion de données, reprise sur erreur, ré-exécution depuis une étape, historique des exécutions : n8n se comporte en orchestrateur de production, pas en simple « si ceci alors cela ».
- Brique d'orchestration IA. Les nœuds AI Agent et les intégrations vector store permettent de monter un pipeline RAG ou un agent outillé directement dans n8n, en pointant sur un modèle local. L'automatisation et l'IA vivent dans le même flux.
- Tarification à l'usage évitée. En self-hosted, pas de facturation par tâche exécutée : le coût est celui de votre serveur. Sur des volumes élevés, l'écart avec un SaaS devient considérable.
Pour qui
Pour un profil à l'aise avec les API REST (JSON, webhooks, en-têtes, authentification) qui veut automatiser sans bâtir un backend complet. La prise en main du visuel est rapide ; les workflows ambitieux demandent vite un peu de JavaScript ou de Python dans les nœuds Code. Les TPE/PME y trouvent une alternative auto-hébergée à Zapier et Make ; les équipes techniques, un orchestrateur sérieux pour leurs pipelines.
Si vous cherchez plutôt à assembler des chaînes LLM que des automatisations métier, regardez Flowise ou Langflow ; pour une plateforme d'applications LLM complète, Dify.
Installation
Prérequis
Docker (recommandé) ou Node.js. Un petit serveur Linux ou un NAS suffisent pour un usage
professionnel léger ; votre poste convient pour tester. Les données (workflows, identifiants,
historique) sont stockées dans une base SQLite au sein du volume, sous
/home/node/.n8n.
Démarrer avec Docker
# Créer le volume de données persistant
docker volume create n8n_data
# Lancer n8n (image officielle, port 5678)
docker run -it --rm \
--name n8n \
-p 5678:5678 \
-v n8n_data:/home/node/.n8n \
docker.n8n.io/n8nio/n8n
Ouvrez http://localhost:5678. Au premier lancement, n8n vous demande de créer un compte propriétaire (nom, e-mail, mot de passe) ; ce compte est local et ne nécessite ni licence ni inscription cloud.
Arrêter, relancer, mettre à jour
# Arrêter / relancer (les données du volume sont conservées)
docker stop n8n
docker start n8n
# Mettre à jour vers la dernière image
docker pull docker.n8n.io/n8nio/n8n
docker stop n8n && docker rm n8n
# puis relancer la commande "docker run" ci-dessus
Aller plus loin : l'exécution de code et les task runners
Le nœud Code exécute du JavaScript ou du Python sur votre serveur. Pour isoler cette exécution, n8n s'appuie sur des task runners — un mécanisme d'exécution sandboxé. Deux modes coexistent :
-
Mode internal (par défaut). Le code tourne dans le processus n8n,
via le module
vmde Node.js, durci (gel des prototypes globaux, redirection des méthodes Buffer dangereuses). Le Python passe par un sandbox AST restrictif exécuté dans un sous-processus dédié. - Mode external (recommandé en production). Les runners tournent dans des processus / conteneurs séparés, communiquant avec n8n par un broker. C'est l'isolation à privilégier dès qu'un workflow peut contenir du code non entièrement maîtrisé.
Les paquets accessibles depuis le code sont contrôlés par des listes d'autorisation :
NODE_FUNCTION_ALLOW_EXTERNAL (modules JS), N8N_RUNNERS_STDLIB_ALLOW et
N8N_RUNNERS_EXTERNAL_ALLOW (paquets Python). Tout reste interdit par défaut : c'est
à vous d'élargir, pas de restreindre.
Points de vigilance
n8n est un serveur web qui exécute du code et agit sur vos systèmes : sa puissance est aussi sa surface de risque. Les points ci-dessous sont propres à cette nature, pas des reproches génériques.
| Point d'attention | Niveau | Ce qu'il faut savoir |
|---|---|---|
| Le nœud Code exécute du JS / Python | 🔴 selon la source du workflow | Un workflow importé ou généré par une IA peut contenir du code qui s'exécute sur votre serveur. Relisez tout code avant activation, et utilisez le mode external des task runners. Des évasions de sandbox ont été corrigées par le passé (CVE-2026-1470, CVE-2026-0863) : le sandbox réduit le risque sans l'annuler — tenez n8n à jour. |
| Failles critiques 2026 — RCE non authentifiée | 🔴 si instance non à jour | Plusieurs vulnérabilités critiques ont été révélées en 2026, dont une exécution de code à distance (RCE) non authentifiée — CVE-2026-21858, dite « Ni8mare », CVSS 10.0, corrigée en v1.121.0 — et un RCE via le nœud Git (CVE-2026-21877, corrigée). Maintenez n8n à jour (au minimum la dernière version stable de votre branche : 1.123.17+ ou 2.5.2+ couvrent les correctifs connus à juin 2026) et ne l'exposez jamais en accès libre sur Internet. Consultez le changelog officiel avant toute montée de version en production. |
| Actions en masse involontaires | 🟡 réel | Un workflow mal cadré peut envoyer des centaines de messages, écrire en boucle dans une base ou épuiser un quota d'API en quelques secondes. Testez en exécution manuelle, plafonnez les volumes, surveillez l'historique avant d'activer le déclenchement automatique. |
| Identifiants et clés API stockés dans l'instance | 🟡 réel | Les credentials saisis sont chiffrés dans la base via une clé de chiffrement n8n. Sauvegardez le volume ~/.n8n, protégez l'accès à l'instance, et conservez la clé de chiffrement (sans elle, les credentials sont irrécupérables). |
| Interface exposée sans protection réseau | 🔴 si publiée en ligne | Le compte propriétaire protège l'accès web, mais n8n n'est pas conçu pour être directement exposé sur Internet. Placez-le derrière un reverse proxy HTTPS, restreignez par IP/VPN, et n'ouvrez les webhooks publics qu'avec une authentification. |
| Licence : fair-code, pas open source OSI | 🟡 avant usage commercial | n8n est sous Sustainable Use License (modèle « fair-code »), pas sous une licence OSI. L'auto-hébergement pour vos besoins internes est permis ; revendre n8n « tel quel » comme service est restreint. Les fichiers marqués .ee. relèvent d'une licence Enterprise distincte. Lisez la licence avant tout usage commercial. |
Sécurité
- Ne l'exposez pas brut sur Internet. Reverse proxy HTTPS (Nginx, Caddy, Traefik), restriction par IP ou accès via VPN. Activez l'authentification sur les webhooks sensibles.
- Isolez l'exécution de code. En production, passez les task runners en mode external et n'autorisez que les paquets strictement nécessaires via les variables d'allowlist.
- N'importez jamais un workflow inconnu sans audit. Inspectez chaque nœud Code et chaque nœud HTTP Request avant la première exécution.
- Sauvegardez le volume et la clé de chiffrement. Le dossier
~/.n8ncontient vos workflows, l'historique et les credentials chiffrés. - Tenez n8n à jour. Les correctifs de sécurité, notamment autour du sandbox, sortent régulièrement. Suivez les releases.
Aller plus loin
- Ollama — brancher un modèle local sur vos workflows via les nœuds IA de n8n.
- LiteLLM — une passerelle unique pour pointer tous vos providers IA depuis n8n.
- Flowise — assembler des chaînes LLM visuelles, en complément des automatisations n8n.
- OSIALab — comparer n8n avec Flowise, Langflow et Dify.
Sources
- Site officiel : n8n.io
- Code source : github.com/n8n-io/n8n
- Documentation : docs.n8n.io
- Licence : Sustainable Use License (fair-code, non OSI) ; fichiers
.ee.sous licence Enterprise n8n.