
La confirmation de Softonic en juin de l’incident Klue/Salesforce est la deuxième faille majeure de LastPass en quatre ans. Pour une catégorie dont la proposition entière repose sur la confiance, deux défaillances suffisent pour qu’un nombre croissant d’utilisateurs déplacent le coffre quelque part où ils peuvent l’auditer et le posséder. L’article XDA du début du mois sur Vaultwarden s’exécutant dans un conteneur Docker à côté de Jellyfin capture le mouvement évident : conservez les mêmes clients Bitwarden sur chaque appareil, pointez-les vers un serveur sur le réseau domestique ou un VPS bon marché, et ne payez plus jamais un abonnement à un gestionnaire de mots de passe.
Nous avons testé les 7 meilleures applications de gestionnaire de mots de passe auto-hébergé pour ordinateur en 2026. La liste couvre la norme Vaultwarden-sur-Docker sur laquelle la plupart des configurations domestiques se retrouvent, la version officielle de Bitwarden auto-hébergée pour les utilisateurs qui veulent rester sur la base de code d’origine, les choix centrés sur l’équipe qui apportent un partage et des politiques d’accès appropriés, et les coffres classiques basés sur des fichiers qui ne nécessitent aucun serveur.
Ce qu’il faut rechercher dans un gestionnaire de mots de passe auto-hébergé
Choisissez un gestionnaire de mots de passe auto-hébergé qui :
- Dispose d’une image Docker maintenue avec un cycle de version connu. Vaultwarden, la version officielle de Bitwarden, Passbolt et Psono sont tous qualifiés ; les anciens projets sans version récente doivent être évités.
- Fonctionne avec les clients Bitwarden, KeePass ou les extensions de navigateur propriétaires si possible. Le verrouillage des clients personnalisés est la friction qui repousse les utilisateurs vers les fournisseurs de cloud.
- Supporte une sauvegarde et une restauration appropriées. Le coffre est le fichier le plus important de votre serveur ; le projet devrait rendre la sauvegarde évidente.
- Gère le partage en famille ou en équipe avec un contrôle d’accès basé sur les rôles si plus d’une personne l’utilise.
- Dispose d’options documentées pour TLS, l’intégration de proxy inverse et 2FA pour l’interface d’administration.
- Dispose d’une communauté active suffisamment grande pour répondre à la question lorsque quelque chose ne va pas.
Comparaison rapide
| Application | Meilleur pour | Plateformes | Plan gratuit | Clients compatibles |
|---|---|---|---|---|
| Vaultwarden | Choix du serveur domestique par défaut | Linux, Docker | Oui, entièrement | Bitwarden mobile, bureau, navigateur |
| Bitwarden Self-Hosted | L’amont officiel | Linux, Docker | Oui pour un usage personnel | Bitwarden mobile, bureau, navigateur |
| Passbolt | Centré sur l’équipe, basé sur GPG | Linux, Docker | Community Edition gratuite | Extension navigateur Passbolt, mobile |
| Psono | Coffre d’équipe centré sur la confidentialité | Linux, Docker | Oui, entièrement | Extension navigateur Psono, bureau |
| Padloc | Interface utilisateur polie, chiffrement de bout en bout | Linux, Docker | Oui pour un usage personnel | Bureau Padloc, mobile, navigateur |
| KeePassXC | Basé sur fichier, aucun serveur requis | Windows, macOS, Linux | Oui, entièrement | Bureau KeePassXC, KeePassDX, Strongbox |
| Pass (passwordstore.org) | Meilleur pour les utilisateurs avancés de GPG et Git | Windows, macOS, Linux | Oui, entièrement | Browserpass, clients mobiles Pass |
Les 7 meilleures applications de gestionnaire de mots de passe auto-hébergé pour ordinateur
1. Vaultwarden — meilleur choix de serveur domestique par défaut
Vaultwarden est la réécriture Rust de l’API du serveur Bitwarden, et c’est le choix par défaut du gestionnaire de mots de passe auto-hébergé pour les utilisateurs domestiques depuis 2021. Le conteneur est petit (un binaire unique plus SQLite ou Postgres), l’utilisation des ressources est négligeable, et les clients mobiles, de bureau et navigateur officiels de Bitwarden communiquent tous avec lui sans aucune modification. Associez-le à un proxy inverse comme Caddy ou Traefik, pointez un enregistrement DNS vers le serveur domestique, et la famille partage le même coffre en une heure. Vaultwarden s’exécute proprement sur Linux, dans un conteneur Docker sur Windows ou macOS, ou sur un petit VPS pour quelques dollars par mois.
Où il est limité : Pas la base de code Bitwarden officielle, donc les audits de sécurité couvrent l’amont plutôt que le fork. Certaines fonctionnalités d’entreprise (SSO, organisations au-delà des bases) sont des stubs. Le panneau d’administration est intentionnellement minimaliste.
Plateformes : Linux, Docker. Clients : Bitwarden mobile, bureau, extensions navigateur.
Résumé : Le par défaut. Choisissez ceci si vous souhaitez conserver l’expérience du client Bitwarden et exécuter vous-même le serveur.
2. Bitwarden Self-Hosted — meilleur amont officiel
Bitwarden Self-Hosted est la version officielle du serveur Bitwarden. L’ensemble de conteneurs est plus lourd que Vaultwarden (plusieurs services, MSSQL par défaut) et nécessite plus de mémoire pour fonctionner, mais l’histoire d’audit est la plus forte de la catégorie et les fonctionnalités d’entreprise (SSO, partage au niveau premium, politiques d’identité) sont toutes disponibles. Bitwarden Self-Hosted est le bon choix pour les organisations qui veulent le code amont, veulent la piste d’audit et ont le matériel pour le soutenir.
Où il est limité : L’utilisation des ressources est assez élevée pour nécessiter au moins 2 Go de mémoire pour une configuration à un seul utilisateur confortable. Le conteneur MSSQL par défaut est inhabituel sous Linux ; la branche Postgres non officielle est l’option plus conviviale. Les mises à jour nécessitent de la prudence car l’ensemble de conteneurs a plus de pièces mobiles que Vaultwarden.
Plateformes : Linux, Docker. Clients : Bitwarden mobile, bureau, extensions navigateur.
Résumé : Choisissez ceci si vous voulez la base de code officielle et que vous avez le matériel pour cela.
3. Passbolt — meilleur pour l’équipe centré sur GPG
Passbolt est le gestionnaire de mots de passe construit pour les équipes dès le départ. L’architecture utilise les clés GPG pour le chiffrement côté client, donc chaque membre de l’équipe a une clé personnelle et les ressources partagées sont chiffrées pour tous les destinataires. Le partage basé sur les rôles, les journaux d’audit et une API extensible sont toutes des fonctionnalités de première classe. Community Edition est gratuite pour l’auto-hébergement sur Linux et fonctionne dans Docker sans surprise. Passbolt est le bon choix lorsque plus de trois personnes partagent un coffre.
Où il est limité : La gestion des clés GPG est une véritable étape d’intégration pour les utilisateurs non techniques. L’extension de navigateur est fiable mais les clients mobiles sont plus jeunes que les principaux concurrents du cloud. Aucune prise en charge des clés d’accès pour le moment.
Plateformes : Linux, Docker. Clients : extension de navigateur Passbolt, mobile.
Résumé : Choisissez ceci si vous configurez un coffre pour une petite équipe et que vous souhaitez un partage basé sur GPG.
4. Psono — meilleur coffre d’équipe centré sur la confidentialité
Psono est un gestionnaire de mots de passe d’équipe basé à Berlin avec une solide histoire de confidentialité et une Community Edition entièrement fonctionnelle et gratuite. Le chiffrement de bout en bout est la norme, la télémétrie côté serveur est minimale, et le projet supporte les types de journaux d’audit et les fonctionnalités de politique d’accès que les petites équipes utilisent réellement. L’extension de navigateur et le client de bureau sont polis, et le niveau Enterprise optionnel ajoute SSO, LDAP et le vernis que les plus grandes organisations recherchent. Psono vs Passbolt est principalement une question de GPG (Passbolt) vs modèle de clé symétrique (Psono).
Où il est limité : Communauté plus petite que Vaultwarden ou Bitwarden Self-Hosted. Les clients mobiles sont fonctionnels mais semblent une génération en arrière. La personnalisation nécessite le niveau Enterprise pour certaines fonctionnalités.
Plateformes : Linux, Docker. Clients : extension de navigateur Psono, bureau.
Résumé : Choisissez ceci si vous souhaitez un coffre d’équipe centré sur la confidentialité et préférez une pile accueillante pour Berlin.
5. Padloc — meilleure interface utilisateur polie
Padloc est l’interface utilisateur du gestionnaire de mots de passe open-source la plus polie de la catégorie auto-hébergée. Le chiffrement de bout en bout est intégré, les clients de bureau et mobiles utilisent le même langage de conception moderne, et le serveur auto-hébergé fonctionne dans un petit conteneur Docker sans dépendances externes. Le piège de Padloc est que le vernis provient historiquement d’une communauté plus petite que le monde Bitwarden, ce qui signifie que le support repose sur les propres canaux du projet.
Où il est limité : Écosystème plus petit que le monde Bitwarden. Le niveau gratuit auto-hébergé limite certaines fonctionnalités destinées au plan d’hébergement payant. Certains partages avancés nécessitent une licence Padloc Family ou Team même en auto-hébergement.
Plateformes : Linux, Docker. Clients : bureau Padloc, mobile, extensions navigateur.
Résumé : Choisissez ceci si vous souhaitez l’interface utilisateur open-source la plus polie de la catégorie.
6. KeePassXC — meilleur basé sur fichier, aucun serveur requis
KeePassXC est le client de bureau multiplateforme pour le format de base de données KeePass. L’histoire “auto-hébergée” ici est la plus simple possible : le coffre est un seul fichier .kdbx chiffré que vous gardez sur votre propre disque, sur Syncthing, sur Nextcloud, sur un partage SFTP ou n’importe où ailleurs. Aucun serveur, aucune API, aucune surface à pirater. L’extension de navigateur gère le remplissage automatique, KeePassDX et Strongbox couvrent Android et iOS, et le format de fichier a été stable pendant des années. KeePassXC est le bon choix pour les utilisateurs qui veulent complètement ignorer le serveur.
Où il est limité : La synchronisation est votre problème. Le partage avec les membres de la famille implique de leur donner accès au fichier, ce qui est maladroit. La récupération d’un mot de passe principal perdu est impossible.
Plateformes : Windows, macOS, Linux. Clients : KeePassXC, KeePassDX (Android), Strongbox (iOS).
Résumé : Choisissez ceci si vous souhaitez le coffre complètement hors de tout service de réseau.
7. Pass (passwordstore.org) — meilleur pour les utilisateurs avancés de GPG et Git
Pass est le gestionnaire de mots de passe en ligne de commande Unix qui stocke chaque identifiant sous la forme d’un fichier chiffré GPG dans un arborescence de répertoires, avec Git pour la synchronisation et le versioning. Browserpass connecte les navigateurs, plusieurs clients mobiles existent, et la conception est l’approche “tout est un fichier” la plus propre de la catégorie. Pass est le bon choix pour les utilisateurs avancés qui ont déjà une configuration GPG fonctionnelle et veulent un coffre qui s’intègre bien aux outils existants.
Où il est limité : La courbe d’apprentissage la plus raide de cette liste. Pas d’interface graphique par défaut. Le partage en famille nécessite d’exécuter un petit serveur Git distant et de gérer les clés GPG entre les destinataires.
Plateformes : Windows, macOS, Linux. Clients : Browserpass, Pass pour Android, plusieurs forks iOS.
Résumé : Choisissez ceci si vous utilisez déjà GPG et Git et que vous souhaitez un coffre qui s’intègre bien.
Comment choisir le bon
Choisissez Vaultwarden si vous souhaitez le chemin le plus fluide de LastPass vers un coffre auto-hébergé qui conserve l’expérience du client Bitwarden.
Choisissez Bitwarden Self-Hosted si vous avez besoin du code amont, de la piste d’audit et de l’ensemble des fonctionnalités d’entreprise, et que vous avez le matériel pour cela.
Choisissez Passbolt si vous configurez un coffre pour une petite équipe et que vous souhaitez un modèle de partage basé sur GPG.
Choisissez Psono si vous souhaitez un coffre d’équipe centré sur la confidentialité et préférez une pile accueillante pour Berlin.
Choisissez Padloc si vous souhaitez l’interface utilisateur open-source la plus polie de la catégorie.
Choisissez KeePassXC si vous souhaitez le coffre complètement hors de tout service de réseau et que vous êtes prêt à gérer vous-même la synchronisation.
Choisissez Pass si vous utilisez déjà GPG et Git et que vous souhaitez un coffre qui s’intègre bien avec eux.
FAQ
Vaultwarden est-il sécurisé ?
Vaultwarden est une réécriture Rust de l’API du serveur Bitwarden et utilise le même chiffrement côté client que Bitwarden. Les clients Bitwarden (mobile, bureau, navigateur) chiffrent avant que quoi que ce soit ne quitte l’appareil, donc le serveur ne détient que des blobs chiffrés. Le fork est largement audité par la communauté auto-hébergée.
Puis-je passer de LastPass à un gestionnaire de mots de passe auto-hébergé ?
Oui. Exportez votre coffre LastPass en CSV, importez dans la cible auto-hébergée. Vaultwarden, Bitwarden Self-Hosted, Passbolt et Psono acceptent tous le CSV LastPass directement via leurs coffres Web.
Quel est le gestionnaire de mots de passe auto-hébergé le plus facile à configurer ?
Vaultwarden via Docker Compose est le plus facile. Un conteneur, un proxy inverse, un enregistrement DNS, et les clients officiels Bitwarden fonctionnent sans configuration supplémentaire.
Dois-je avoir un nom de domaine pour auto-héberger un gestionnaire de mots de passe ?
Un nom de domaine facilite TLS et est le chemin recommandé, mais un certificat auto-signé sur une adresse réseau local uniquement fonctionne pour un usage personnel. Les clients mobiles Bitwarden nécessitent un HTTPS valide pour se connecter, donc un certificat Let’s Encrypt gratuit via un proxy inverse est la réponse habituelle.
Quel gestionnaire de mots de passe auto-hébergé prend en charge les clés d’accès ?
Vaultwarden et Bitwarden Self-Hosted prennent tous deux en charge les clés d’accès via l’expérience du client Bitwarden. Padloc prend en charge les clés d’accès en natif. Passbolt a la prise en charge des clés d’accès sur la feuille de route à partir de la mi-2026.