L’article de XDA sur la migration des mots de passe, de l’authentification 2FA et des clés d’accès vers Vaultwarden met en lumière une tendance à l’auto-hébergement qui prend de l’ampleur : un petit serveur Rust compatible avec tous les clients Bitwarden, fonctionnant sur un Raspberry Pi ou un ancien NUC dans un placard. Vaultwarden est la bonne réponse pour de nombreux ménages. Ce n’est pas la bonne réponse pour tout le monde. Le serveur officiel Bitwarden est plus lourd mais propose les fonctionnalités dont les administrateurs d’équipe ont réellement besoin. Passbolt et Psono ciblent les entreprises qui veulent l’audit et les autorisations de groupe. KeePassXC contourne complètement la question du serveur.
Nous avons testé 7 alternatives à Vaultwarden sur desktop et les avons classées selon les mêmes critères : temps d’installation sur une nouvelle installation Debian, procédure de restauration à partir d’une sauvegarde, compatibilité des clients, partage de groupe et les frictions d’utilisation quotidienne qui déterminent si le ménage l’adopte réellement.
Comparaison rapide
| Application | Idéale pour | Plan gratuit | Prix de départ | Fonctionnalité distinctive |
|---|---|---|---|---|
| Bitwarden Self-Hosted | Stack officielle complète | Oui, entièrement sur site | Gratuit, org payante à partir de 3$/utilisateur/mois | Même code que le produit cloud |
| KeePassXC | Coffre-fort local, basé sur fichier | Oui, entièrement | Gratuit | Pas de serveur à exécuter du tout |
| Passbolt | Partage de mots de passe en équipe | Community Edition, entièrement gratuite | Pro à partir de 49€/mois pour 10 utilisateurs | Chiffrement de bout en bout basé sur GPG |
| Psono | Auto-hébergement d’entreprise | Community Edition, entièrement gratuite | Entreprise à partir de 3€/utilisateur/mois | LDAP, SAML, rôles granulaires |
| Padloc | Interface moderne légère | Oui, sur site uniquement | Gratuit | Rapport de sécurité intégré et vérifications de violations |
| Pass | Minimalisme style Unix | Oui, entièrement | Gratuit | Un répertoire de fichiers de mots de passe chiffrés avec GPG |
| Teampass | Coffre-fort d’équipe basé sur navigateur | Oui, entièrement | Gratuit | Autorisations par dossier et arborescence de rôles |
Pourquoi les gens quittent Vaultwarden
Trois raisons reviennent régulièrement sur r/selfhosted et dans les issues GitHub de Vaultwarden :
- Le mainteneur est une seule personne. Daniel García a porté le projet pendant des années. De nombreux auto-hébergeurs s’inquiètent du facteur de bus et veulent un projet avec une équipe rémunérée derrière lui.
- Les fonctionnalités d’entreprise de Bitwarden arrivent tardivement dans Vaultwarden, sinon jamais. La synchronisation des répertoires, SCIM, SSO avec connecteur clé et le moteur de stratégie arrivent d’abord sur le serveur officiel. Le fork Vaultwarden doit rattraper son retard.
- C’est officieux. Vaultwarden livre un backend ré-implémenté qui imite l’API de Bitwarden. La plupart du temps, cela fonctionne. Occasionnellement, une nouvelle fonctionnalité du client Bitwarden casse le protocole et Vaultwarden doit appliquer un correctif.
Aucun de ces problèmes n’est un obstacle pour un ménage. Tous importent pour une entreprise de 50 personnes.
Les 7 alternatives à Vaultwarden
1. Bitwarden Self-Hosted, idéal pour la stack officielle
Bitwarden livre le même logiciel qu’il exécute sur son cloud en tant que package auto-hébergé. Le déploiement complet exécute onze conteneurs (API, identité, coffre-fort web, pièces jointes, administrateur, MSSQL et compagnie) et utilise un peu plus de mémoire que Vaultwarden, mais chaque fonctionnalité arrive ici en premier : synchronisation des clés d’accès, SSO avec connecteur clé, synchronisation des répertoires, SCIM, le moteur de stratégie et le nouveau tableau de bord administrateur. Le stockage s’exécute sur Microsoft SQL Server par défaut, avec une version compatible PostgreSQL émergente en 2025. Bitwarden vs Vaultwarden en 2026 : les mêmes clients, une empreinte backend très différente.
Points faibles : Pression sur la mémoire et le disque sur les petites machines virtuelles. Une instance à 2 vCPU et 2 GB qui exécute Vaultwarden confortablement aura du mal avec la stack Bitwarden complète et une base de données.
Tarification :
- Gratuit : Toutes les fonctionnalités auto-hébergées pour un usage personnel, appareils illimités
- Payant : Teams Starter à 20$/mois pour 10 utilisateurs, Entreprise auto-hébergée à partir de 5$/utilisateur/mois
- vs Vaultwarden : Gratuit pour un usage personnel de toute façon. Bitwarden ne facture que quand vous avez besoin de fonctionnalités org que le fork Vaultwarden n’a pas encore livré.
Migration depuis Vaultwarden : Exportez chaque coffre-fort en JSON chiffré depuis l’interface web, importez dans Bitwarden. La structure des dossiers et les pièces jointes se transfèrent proprement. La migration org nécessite de réinviter les membres et de repartager les collections à la main. Comptez une soirée pour un ménage, un weekend pour une équipe de 20 personnes.
Télécharger : Bitwarden Self-Hosting
Conclusion : Choisissez ceci quand le ménage s’est transformé en équipe et que vous avez besoin de fonctionnalités que Vaultwarden n’a pas encore intégrées.
2. KeePassXC, idéal pour l’option sans serveur
KeePassXC est le fork multiplateforme de KeePass qui s’exécute sur chaque bureau sans serveur du tout. Le coffre-fort est un simple fichier .kdbx que vous synchronisez avec ce que vous utilisez déjà : Syncthing, Nextcloud, iCloud, OneDrive ou une clé USB. Il supporte les clés d’accès (ajoutées en 2.7.x), l’intégration de navigateur via KeePassXC-Browser, TOTP, les pièces jointes et l’intégration d’agent SSH. KeePassXC vs Vaultwarden en 2026 : philosophies opposées. Vaultwarden exécute un serveur pour que plusieurs appareils restent synchronisés automatiquement. KeePassXC délègue la synchronisation à tout ce que vous faites déjà confiance.
Points faibles : La résolution des conflits est votre problème. Si deux appareils écrivent sur le même fichier de coffre-fort hors ligne, KeePassXC ne les fusionnera pas magiquement. Mobile est également plus faible : KeePass2Android et Strongbox sont bons, mais ce ne sont pas des produits de première partie.
Tarification :
- Gratuit : Tout, aucun plan, pas de télémétrie
- Payant : Aucun
- vs Vaultwarden : Les deux gratuits. KeePassXC vous économise le coût d’exécution d’un serveur.
Migration depuis Vaultwarden : Exportez Vaultwarden en JSON chiffré, puis convertissez avec l’assistant d’importation de KeePassXC. Les dossiers deviennent des groupes, les champs personnalisés se transfèrent, les pièces jointes viennent avec. Les clés d’accès ne se migrent pas proprement et doivent être re-enregistrées sur chaque site.
Télécharger : keepassxc.org
Conclusion : Choisissez ceci quand vous voulez arrêter d’exécuter un serveur et faire confiance à votre fournisseur de synchronisation avec le fichier chiffré.
3. Passbolt, idéal pour le partage en équipe
Passbolt a été créé pour les équipes dès le départ. Le modèle de menace est le chiffrement de bout en bout basé sur GPG : chaque utilisateur a une clé, les mots de passe partagés sont re-chiffrés par destinataire, et le serveur ne voit jamais une identifiant en texte brut. La Community Edition est entièrement gratuite, s’exécute sur Debian ou Docker, et livre une extension de navigateur et une interface web utilisable. Passbolt vs Vaultwarden en 2026 : le modèle de permissions de Passbolt est plus granulaire, mais l’interface est le prix que vous payez.
Points faibles : L’interface web crée plus de friction que les clones Bitwarden. Intégrer un collègue non technique implique d’expliquer les clés GPG, d’exporter les kits de récupération et d’importer dans une extension de navigateur. Les applications mobiles existent (iOS et Android) mais traînent l’expérience de bureau.
Tarification :
- Gratuit : Community Edition, utilisateurs illimités, toutes les fonctionnalités de partage
- Payant : Pro à partir de 49€/mois pour 10 utilisateurs, Cloud Pro hébergé à partir de 5€/utilisateur/mois
- vs Vaultwarden : Les deux gratuits pour l’auto-hébergement. Le niveau payant de Passbolt ajoute les journaux d’audit, SSO et la synchronisation des répertoires.
Migration depuis Vaultwarden : Exportez Vaultwarden en CSV, puis importez via l’importateur CSV de Passbolt. Les dossiers deviennent des tags. Les entrées d’organisation partagées ne correspondent pas automatiquement au modèle de permissions de Passbolt ; attendez-vous à refaire la matrice de partage.
Télécharger : passbolt.com/community-downloads
Conclusion : Choisissez ceci quand une petite entreprise a besoin d’un vrai partage et est disposée à apprendre un concept GPG.
4. Psono, idéal pour l’auto-hébergement d’entreprise
Psono est l’option d’entreprise construite en Allemagne pour les auto-hébergeurs qui veulent LDAP, SAML, rôles granulaires et un audit de sécurité écrit sans payer le niveau entreprise de Bitwarden. La Community Edition est open-source et gratuite pour les utilisateurs illimités ; la build Entreprise ajoute SSO, journalisation d’audit et support prioritaire. Psono vs Vaultwarden en 2026 : destiné à la même foule d’auto-hébergeurs mais avec le département IT à l’esprit.
Points faibles : La Community Edition omet les fonctionnalités que les équipes de taille moyenne attendent (rétention du journal d’audit, SAML, support de modules de sécurité matérielle). Les extensions de navigateur sont compétentes mais pas aussi polies que celles de Bitwarden.
Tarification :
- Gratuit : Community Edition, utilisateurs illimités
- Payant : Serveur Entreprise à partir de 3€/utilisateur/mois, plan SaaS à partir de 1,50€/utilisateur/mois
- vs Vaultwarden : Gratuit si vous restez sur Community Edition. Le niveau entreprise est priced similarement aux Teams Bitwarden.
Migration depuis Vaultwarden : Exportez Vaultwarden, convertissez via l’importateur CSV de Psono. Le partage se réorganise autour du modèle de groupe de Psono, qui est plus proche d’Active Directory qu’aux Collections Bitwarden. Prévoyez un weekend si l’équipe dépasse 25 personnes.
Télécharger : psono.com
Conclusion : Choisissez ceci quand une entreprise a besoin de LDAP/SAML et le choc de prix Bitwarden Enterprise est trop élevé.
5. Padloc, idéal pour une interface moderne légère
Padloc est la réponse pour les auto-hébergeurs qui ont aimé l’empreinte minimale de Vaultwarden mais voulaient une interface plus polie. Il s’exécute sur un seul processus Node.js, communique via WebSockets pour la synchronisation en direct et livre un coffre-fort web, une extension de navigateur et des applications mobiles. Le niveau gratuit couvre tout ce qu’un individu ou une petite famille a besoin. Padloc vs Vaultwarden en 2026 : budget de ressources similaire, interface plus moderne, écosystème plus petit.
Points faibles : La communauté autour de Padloc est plus petite que celle de Vaultwarden, donc les outils tiers (CLI, aides de synchronisation, pages de statut) sont plus maigres. Les fonctionnalités d’entreprise sont minimales.
Tarification :
- Gratuit : Auto-hébergé avec toutes les fonctionnalités personnelles
- Payant : Plan familial 35$/an, Professionnel à partir de 5$/utilisateur/mois (hébergé)
- vs Vaultwarden : Les deux gratuits pour l’auto-hébergement personnel. Les niveaux payants de Padloc ciblent les personnes qui veulent que la compagnie l’héberge à la place.
Migration depuis Vaultwarden : Padloc importe directement l’export CSV de Bitwarden. Les dossiers et les éléments de base arrivent. Les types de champs personnalisés et les pièces jointes nécessitent une passe manuelle.
Télécharger : padloc.app
Conclusion : Choisissez ceci quand l’interface compte plus que la liste de contrôle des fonctionnalités et que vous n’avez pas besoin de contrôles au niveau org.
6. Pass (le gestionnaire de mots de passe unix standard), idéal pour les utilisateurs en terminal
Pass stocke chaque mot de passe dans un fichier chiffré avec GPG à l’intérieur d’un repository Git. C’est tout le produit. Il n’y a pas d’interface graphique, pas de coffre-fort web, pas de serveur : un shell de développeur, une clé GPG et un repo Git distant sont la stack entière. Les plugins l’étendent avec TOTP, l’auto-remplissage du navigateur (browserpass) et les clients Android/iOS. Pass vs Vaultwarden en 2026 : minimaliste au maximum, portable au maximum, pas de guide GUI.
Points faibles : Ne convient pas à quiconque n’est pas à l’aise dans un terminal. Le partage nécessite d’apprendre à chaque destinataire comment importer une clé GPG. Les membres de la famille ne l’utiliseront pas.
Tarification :
- Gratuit : Oui, GPL2
- Payant : Aucun
- vs Vaultwarden : Les deux gratuits. Pass remplace le serveur entier par un remote Git.
Migration depuis Vaultwarden : Un script communautaire lit l’export JSON chiffré de Bitwarden et écrit un fichier .gpg par entrée. La structure des dossiers devient une hiérarchie de répertoires. Les pièces jointes ne se transfèrent pas.
Télécharger : passwordstore.org
Conclusion : Choisissez ceci quand vous vivez dans le terminal et que votre gestionnaire de mots de passe n’a pas besoin d’interface.
7. Teampass, idéal pour les dossiers d’équipe basés sur navigateur
Teampass est le gestionnaire de mots de passe auto-hébergé PHP/MySQL de longue date pour les organisations qui veulent une interface navigateur uniquement avec des autorisations par dossier. Il précède les clones Bitwarden de plusieurs années et reste un choix sensé pour les équipes qui ont une stack LAMP et ne veulent pas ajouter un autre runtime. Teampass vs Vaultwarden en 2026 : une esthétique différente, mais l’arborescence de permissions est plus difficile à dépasser.
Points faibles : L’interface est datée et manque les petites touches (support des clés d’accès, applications mobiles aussi polies que celles de Bitwarden) que les alternatives plus récentes offrent. La base de code est PHP, que certaines équipes voient comme un compromis de sécurité.
Tarification :
- Gratuit : Oui, open-source sous GPL
- Payant : Aucun
- vs Vaultwarden : Les deux gratuits. Teampass scale le partage différemment, une arborescence de permissions plutôt que des collections.
Migration depuis Vaultwarden : Exportez Vaultwarden en CSV, puis lancez l’import de Teampass. La hiérarchie des dossiers correspond presque directement. Le partage par collection doit être re-modélisé en tant que rôles Teampass.
Télécharger : teampass.net
Conclusion : Choisissez ceci quand une petite organisation exécute déjà LAMP et veut un gestionnaire de mots de passe navigateur uniquement.
Comment choisir
- Choisissez Bitwarden Self-Hosted si vous avez besoin de chaque fonctionnalité que Vaultwarden n’a pas encore intégrée et que vous avez les ressources pour exécuter la stack complète.
- Choisissez KeePassXC si exécuter un serveur est la chose que vous essayez d’éviter.
- Choisissez Passbolt si vous êtes une équipe de 5–30 personnes qui veut le vrai partage et qui peut absorber un concept GPG.
- Choisissez Psono si le département IT a besoin de LDAP, SAML ou de journaux d’audit sans le prix Bitwarden Enterprise.
- Choisissez Padloc si vous voulez une empreinte style Vaultwarden avec une interface plus moderne.
- Choisissez Pass si vous êtes un développeur et le reste du ménage utilise un système différent.
- Choisissez Teampass si l’équipe exécute déjà LAMP et ne veut pas ajouter une autre stack.
- Restez sur Vaultwarden si vous êtes un ménage, la friction d’utilisation quotidienne est ce qui vous importe, et la préoccupation du facteur de bus ne vous tient pas éveillé la nuit.
FAQ
Le serveur officiel de Bitwarden est-il meilleur que Vaultwarden ?
Le serveur officiel de Bitwarden est plus complet et plus conservateur. Il livre chaque fonctionnalité en premier, supporte chaque intégration d’entreprise et exécute le même code que Bitwarden héberge en production. Vaultwarden est plus léger, exécute sur un quart du matériel et convient pour un ménage. Le bon choix dépend de si vous avez besoin de la surface de fonctionnalité d’entreprise ou juste d’un coffre-fort personnel.
Puis-je exécuter un gestionnaire de mots de passe auto-hébergé sur un Raspberry Pi ?
Oui pour Vaultwarden, KeePassXC (fichier uniquement, pas de serveur), Padloc et Pass. Bitwarden Self-Hosted s’exécutera sur un Raspberry Pi 4 avec 4 GB de RAM mais vous ressentirez la base de données sous charge. Psono et Passbolt sont quelque part entre les deux.
Quel est le gestionnaire de mots de passe auto-hébergé le plus sûr ?
Les sept projets utilisent le chiffrement audité au repos. Le modèle de menace qui varie est le serveur : KeePassXC et Pass n’ont jamais de serveur en texte brut, tandis que Vaultwarden, Bitwarden, Padloc, Psono et Passbolt s’appuient sur les clés dérivées du mot de passe principal ne quittant jamais le client. La re-chiffrement GPG par destinataire de Passbolt est le modèle le plus paranoïaque quand les identifiants partagés sont la menace.
Mes clients Bitwarden fonctionneront-ils avec ces alternatives ?
Les clients officiels de Bitwarden fonctionnent avec Bitwarden Self-Hosted, Vaultwarden et (via le mode API) Padloc. Ils ne fonctionnent pas avec KeePassXC, Pass, Passbolt, Psono ou Teampass, chacun d’eux livre ses propres clients.
Comment migrer depuis Vaultwarden sans perdre les codes 2FA ?
Exportez Vaultwarden en JSON chiffré, puis importez dans la cible. Les secrets TOTP voyagent comme partie de l’entrée, donc les codes 2FA existants continuent de fonctionner dans le nouveau coffre-fort. Les clés d’accès sont liées à l’origine et doivent être re-enregistrées sur chaque site, indépendamment du coffre-fort vers lequel vous migrez.
Quelle est l’alternative à Vaultwarden la moins chère ?
Chaque alternative sur cette liste a un niveau entièrement gratuit pour l’auto-hébergement. KeePassXC et Pass ont le coût de fonctionnement le plus bas car ils n’ont pas besoin d’un serveur du tout.