En mars 2025, des procureurs fédéraux ont lié une saisie de cryptomonnaies à un vol qui avait débuté avec la violation de LastPass. Les victimes avaient stocké des phrases de récupération dans les Notes sécurisées, les attaquants avaient dérobé des données de coffre chiffrées en 2022, et de faibles mots de passe maîtres avaient été craqués hors ligne par la suite. Lisez les reportages sur l'affaire.
Cette histoire n'a pas créé la catégorie des gestionnaires de mots de passe auto-hébergés, mais elle a poussé davantage de personnes vers cette solution.
Cet article évite l'habituelle liste de fonctionnalités. Il vous donne le choix pour une utilisation solo, les petites équipes et les organisations ayant des besoins d'audit. Il couvre également les deux aspects que la plupart des guides omettent : les sauvegardes et la migration.
La réponse directe
- Utilisateur solo, famille ou homelab : Vaultwarden sur un petit VPS. Il utilise les clients officiels Bitwarden, reste léger et maintient la configuration simple.
- Petite équipe ou flux de travail avec identifiants partagés : Organisations Vaultwarden pour les équipes fortement axées sur le mobile, ou Passbolt si la gestion des identifiants partagés est la vraie raison pour laquelle vous auto-hébergez.
- Organisation avec des besoins d'audit ou de conformité : Le serveur auto-hébergé officiel de Bitwarden. Il est plus lourd, mais il dispose de la piste d'audit et du support fournisseur dont la plupart des organisations ont besoin.
- Peu importe lequel vous choisissez : Une sauvegarde que vous n'avez jamais restaurée n'est pas une sauvegarde. Testez une restauration complète sur une machine vierge.
Ce que signifie l'auto-hébergement
Le modèle de chiffrement ne change pas. Le chiffrement s'effectue toujours côté client. Le serveur stocke un texte chiffré qu'il ne peut pas lire. La différence réside dans qui gère le serveur. Avec Bitwarden cloud, c'est Bitwarden qui le gère. Avec Vaultwarden ou Bitwarden auto-hébergé, c'est vous.
Ce n'est pas la même chose qu'un gestionnaire de secrets comme HashiCorp Vault, Doppler ou AWS Secrets Manager. Ces outils servent les applications. Les gestionnaires de mots de passe servent les personnes.
Ce qui est dans le périmètre ici : Vaultwarden, Bitwarden auto-hébergé, Passbolt CE, Psono, et KeePassXC avec Syncthing comme option sans serveur.
Les cinq outils en un coup d'œil
| Outil | Pile | Empreinte typique | Statut d'audit | Idéal pour |
|---|---|---|---|---|
| Vaultwarden | Rust, conteneur Docker unique | ~50 Mo au repos | Aucun audit formel par un tiers | Particuliers, familles, petites équipes |
| Bitwarden auto-hébergé | .NET, stack multi-conteneurs | ~2 Go au repos | Audits tiers publiés | Les organisations ayant besoin d'un historique d'audit |
| Passbolt CE | PHP / MariaDB / NGINX | ~512 Mo en fonctionnement | Audité par un tiers | Partage d'identifiants en priorité pour les équipes |
| Psono | Python / PostgreSQL, multi-conteneurs | ~512 Mo+ | Historique d'audit partiel | Les équipes qui souhaitent un modèle de partage de type entreprise |
| KeePassXC + Syncthing | Base de données locale + synchronisation pair-à-pair | Aucun serveur | Avis indépendants publiés | Utilisateurs seuls qui ne veulent aucun serveur |
Vaultwarden
Vaultwarden est une réécriture en Rust du serveur Bitwarden. Il utilise les clients officiels Bitwarden, donc l'expérience quotidienne est identique à celle de Bitwarden cloud. Il fonctionne dans un seul conteneur Docker et maintient une faible utilisation des ressources.
Le compromis est simple. Vaultwarden n'a pas d'audit de sécurité formel par un tiers. Cela ne le rend pas mauvais pour autant. Cela signifie simplement que le modèle de confiance est différent.
Pour les utilisateurs seuls, les couples et les familles, ce compromis est généralement acceptable. Pour les équipes très mobiles, c'est encore une bonne option s'ils utilisent principalement des coffres personnels avec quelques collections partagées.
Un petit VPS suffit pour la plupart des configurations Vaultwarden. Environ 1 Go est le point idéal pour un coffre-fort personnel. Pour un petit foyer ou une équipe avec un peu plus d'activité, 2 Go offre plus de marge.
Gardez-le à jour. Les modifications des clients Bitwarden peuvent temporairement casser les anciennes versions de Vaultwarden, donc ne laissez pas le serveur prendre du retard pendant des mois.
Choisissez : Vaultwarden pour la plupart des cas d'utilisation personnelle.
Bitwarden Auto-hébergé
Bitwarden auto-hébergé est la pile complète du fournisseur. Il est plus lourd que Vaultwarden, mais c'est le prix à payer pour obtenir le modèle de serveur Bitwarden exact, des travaux d'audit publiés et un chemin de support plus facile à défendre devant les responsables des achats ou les examinateurs de sécurité.
Bitwarden publie des travaux d'évaluation tiers pour l'ensemble de ses produits.
C'est le bon choix pour les organisations qui ont besoin de répondre aux questions avec des dates et des rapports, pas avec des vagues promesses. Il nécessite également plus d'espace. Une petite organisation devrait prévoir un VPS de 4 Go comme point de départ, avec plus de marge pour des équipes plus grandes ou des sauvegardes plus lourdes.
Choix : Bitwarden auto-hébergé lorsque l'historique d'audit prime sur un environnement allégé.
Passbolt CE
Passbolt est conçu autour des équipes dès le départ. Son modèle de partage est plus granulaire que ce que la plupart des gestionnaires de mots de passe personnels proposent, et c'est précisément là son atout. Il fonctionne au mieux lorsque les identifiants partagés sont la principale tâche, pas une réflexion après coup.
L'inconvénient réside dans l'expérience mobile. Passbolt est encore en pratique principalement axé sur le bureau. Un mode d'accès hors ligne d'urgence est prévu dans la feuille de route, mais ce n'est pas la même chose qu'une expérience hors ligne mature disponible dès aujourd'hui.
Passbolt nécessite également plus de ressources que Vaultwarden. Un VPS de 2 Go est le minimum, et 4 Go est un point de départ plus sûr pour une vraie configuration d'équipe.
Choix : Passbolt CE lorsque le flux de travail avec identifiants partagés est la seule raison pour laquelle vous auto-hébergez.
Psono
Psono se situe au milieu. Il dispose d'un modèle de partage de type entreprise, de portails administrateur et utilisateur séparés, et d'une structure qui facilite la gestion des accès de groupe par rapport à un simple coffre-fort personnel.
Il est moins courant que Vaultwarden, Bitwarden ou Passbolt, donc la communauté est plus petite.
Psono est pertinent pour les équipes qui souhaitent quelque chose de plus structuré que les organisations Vaultwarden, mais qui ne veulent pas des compromis mobiles associés à Passbolt.
Choix : Psono pour les équipes qui veulent un modèle de partage plus proche de l'entreprise sans passer directement à Bitwarden auto-hébergé.
KeePassXC + Syncthing
C'est la voie sans serveur. KeePassXC stocke les identifiants dans un fichier local chiffré .kdbx fichier. Syncthing copie ce fichier sur tous vos appareils. Pas de serveur. Pas d'API. Pas de Docker. Pas de facture mensuelle.
Les compromis sont réels. Il n'y a pas de partage d'équipe approprié. La gestion des conflits devient compliquée si deux appareils écrivent en même temps. Il n'y a pas de coffre-fort web, donc l'accès depuis une machine empruntée est exclu.
C'est la bonne réponse pour un utilisateur unique avec deux ou trois appareils qui ne souhaite pas gérer d'infrastructure.
Choisissez : KeePassXC + Syncthing pour ceux qui ne veulent pas de serveur.
Les règles de sauvegarde qui comptent
Un gestionnaire de mots de passe auto-hébergé ne vaut que ce que vaut son processus de restauration.
L'approche la plus sûre est simple :
- conserver trois copies des données
- les stocker sur deux types de supports différents
- conserver une copie hors site
Une configuration simple fonctionne bien. Effectuez une sauvegarde nocturne de la base de données, copiez-la sur un stockage compatible S3 et conservez une deuxième copie sur un support amovible qui reste ailleurs.
Faites ensuite ce que la plupart des gens sautent. Restaurez une sauvegarde sur une VM vierge et connectez-vous. Si ça fonctionne, vous avez une sauvegarde. Sinon, vous avez un fichier dont vous espérez qu'il fonctionne.
Migration depuis LastPass, 1Password ou Bitwarden Cloud
La migration la plus simple de cette liste est celle de Bitwarden cloud vers Vaultwarden. Changez l'URL du serveur dans le client, connectez-vous et synchronisez.
La migration de LastPass vers Vaultwarden demande davantage de travail. Exportez le coffre LastPass au format CSV, importez-le via le client Bitwarden, puis redirigez ce même client vers votre serveur auto-hébergé.
Trois points méritent votre attention :
- Les pièces jointes sont exportées séparément du CSV. Réimportez-les manuellement.
- La structure des dossiers peut changer. Faites une vérification rapide avant de faire confiance à la nouvelle organisation.
- Les seeds TOTP doivent être vérifiés. Connectez-vous à quelques comptes avant de supprimer l'ancien coffre.
La règle universelle est simple : ne supprimez pas le coffre source pendant 30 jours.
Quelle option convient à quel lecteur
Si vous souhaitez la voie la plus fluide pour un usage personnel, choisissez Vaultwarden.
Si votre équipe a besoin d'identifiants partagés et travaille principalement sur ordinateur, Passbolt est la solution la plus adaptée.
Si l'historique d'audit et le support fournisseur sont primordiaux, Bitwarden auto-hébergé est le choix le plus sûr.
Si vous ne voulez aucun serveur, KeePassXC associé à Syncthing est la solution la plus propre pour s'en passer.
Conclusion
Choisissez la configuration adaptée à votre cas d'usage, déployez l'outil correspondant et passez à la suite.
L'étape suivante est le test de restauration à froid. Démarrez une VM vierge, restaurez votre dernière sauvegarde et connectez-vous.
