Vaultwarden

L’article de XDA sur la migration des mots de passe, de l’authentification 2FA et des clés d’accès vers Vaultwarden met en lumière une tendance à l’auto-hébergement qui prend de l’ampleur : un petit serveur Rust compatible avec tous les clients Bitwarden, fonctionnant sur un Raspberry Pi ou un ancien NUC dans un placard. Vaultwarden est la bonne réponse pour de nombreux ménages. Ce n’est pas la bonne réponse pour tout le monde. Le serveur officiel Bitwarden est plus lourd mais propose les fonctionnalités dont les administrateurs d’équipe ont réellement besoin. Passbolt et Psono ciblent les entreprises qui veulent l’audit et les autorisations de groupe. KeePassXC contourne complètement la question du serveur.

Nous avons testé 7 alternatives à Vaultwarden sur desktop et les avons classées selon les mêmes critères : temps d’installation sur une nouvelle installation Debian, procédure de restauration à partir d’une sauvegarde, compatibilité des clients, partage de groupe et les frictions d’utilisation quotidienne qui déterminent si le ménage l’adopte réellement.

Comparaison rapide

ApplicationIdéale pourPlan gratuitPrix de départFonctionnalité distinctive
Bitwarden Self-HostedStack officielle complèteOui, entièrement sur siteGratuit, org payante à partir de 3$/utilisateur/moisMême code que le produit cloud
KeePassXCCoffre-fort local, basé sur fichierOui, entièrementGratuitPas de serveur à exécuter du tout
PassboltPartage de mots de passe en équipeCommunity Edition, entièrement gratuitePro à partir de 49€/mois pour 10 utilisateursChiffrement de bout en bout basé sur GPG
PsonoAuto-hébergement d’entrepriseCommunity Edition, entièrement gratuiteEntreprise à partir de 3€/utilisateur/moisLDAP, SAML, rôles granulaires
PadlocInterface moderne légèreOui, sur site uniquementGratuitRapport de sécurité intégré et vérifications de violations
PassMinimalisme style UnixOui, entièrementGratuitUn répertoire de fichiers de mots de passe chiffrés avec GPG
TeampassCoffre-fort d’équipe basé sur navigateurOui, entièrementGratuitAutorisations par dossier et arborescence de rôles

Pourquoi les gens quittent Vaultwarden

Trois raisons reviennent régulièrement sur r/selfhosted et dans les issues GitHub de Vaultwarden :

Aucun de ces problèmes n’est un obstacle pour un ménage. Tous importent pour une entreprise de 50 personnes.

Les 7 alternatives à Vaultwarden

1. Bitwarden Self-Hosted, idéal pour la stack officielle

Bitwarden livre le même logiciel qu’il exécute sur son cloud en tant que package auto-hébergé. Le déploiement complet exécute onze conteneurs (API, identité, coffre-fort web, pièces jointes, administrateur, MSSQL et compagnie) et utilise un peu plus de mémoire que Vaultwarden, mais chaque fonctionnalité arrive ici en premier : synchronisation des clés d’accès, SSO avec connecteur clé, synchronisation des répertoires, SCIM, le moteur de stratégie et le nouveau tableau de bord administrateur. Le stockage s’exécute sur Microsoft SQL Server par défaut, avec une version compatible PostgreSQL émergente en 2025. Bitwarden vs Vaultwarden en 2026 : les mêmes clients, une empreinte backend très différente.

Points faibles : Pression sur la mémoire et le disque sur les petites machines virtuelles. Une instance à 2 vCPU et 2 GB qui exécute Vaultwarden confortablement aura du mal avec la stack Bitwarden complète et une base de données.

Tarification :

Migration depuis Vaultwarden : Exportez chaque coffre-fort en JSON chiffré depuis l’interface web, importez dans Bitwarden. La structure des dossiers et les pièces jointes se transfèrent proprement. La migration org nécessite de réinviter les membres et de repartager les collections à la main. Comptez une soirée pour un ménage, un weekend pour une équipe de 20 personnes.

Télécharger : Bitwarden Self-Hosting

Conclusion : Choisissez ceci quand le ménage s’est transformé en équipe et que vous avez besoin de fonctionnalités que Vaultwarden n’a pas encore intégrées.

2. KeePassXC, idéal pour l’option sans serveur

KeePassXC est le fork multiplateforme de KeePass qui s’exécute sur chaque bureau sans serveur du tout. Le coffre-fort est un simple fichier .kdbx que vous synchronisez avec ce que vous utilisez déjà : Syncthing, Nextcloud, iCloud, OneDrive ou une clé USB. Il supporte les clés d’accès (ajoutées en 2.7.x), l’intégration de navigateur via KeePassXC-Browser, TOTP, les pièces jointes et l’intégration d’agent SSH. KeePassXC vs Vaultwarden en 2026 : philosophies opposées. Vaultwarden exécute un serveur pour que plusieurs appareils restent synchronisés automatiquement. KeePassXC délègue la synchronisation à tout ce que vous faites déjà confiance.

Points faibles : La résolution des conflits est votre problème. Si deux appareils écrivent sur le même fichier de coffre-fort hors ligne, KeePassXC ne les fusionnera pas magiquement. Mobile est également plus faible : KeePass2Android et Strongbox sont bons, mais ce ne sont pas des produits de première partie.

Tarification :

Migration depuis Vaultwarden : Exportez Vaultwarden en JSON chiffré, puis convertissez avec l’assistant d’importation de KeePassXC. Les dossiers deviennent des groupes, les champs personnalisés se transfèrent, les pièces jointes viennent avec. Les clés d’accès ne se migrent pas proprement et doivent être re-enregistrées sur chaque site.

Télécharger : keepassxc.org

Conclusion : Choisissez ceci quand vous voulez arrêter d’exécuter un serveur et faire confiance à votre fournisseur de synchronisation avec le fichier chiffré.

3. Passbolt, idéal pour le partage en équipe

Passbolt a été créé pour les équipes dès le départ. Le modèle de menace est le chiffrement de bout en bout basé sur GPG : chaque utilisateur a une clé, les mots de passe partagés sont re-chiffrés par destinataire, et le serveur ne voit jamais une identifiant en texte brut. La Community Edition est entièrement gratuite, s’exécute sur Debian ou Docker, et livre une extension de navigateur et une interface web utilisable. Passbolt vs Vaultwarden en 2026 : le modèle de permissions de Passbolt est plus granulaire, mais l’interface est le prix que vous payez.

Points faibles : L’interface web crée plus de friction que les clones Bitwarden. Intégrer un collègue non technique implique d’expliquer les clés GPG, d’exporter les kits de récupération et d’importer dans une extension de navigateur. Les applications mobiles existent (iOS et Android) mais traînent l’expérience de bureau.

Tarification :

Migration depuis Vaultwarden : Exportez Vaultwarden en CSV, puis importez via l’importateur CSV de Passbolt. Les dossiers deviennent des tags. Les entrées d’organisation partagées ne correspondent pas automatiquement au modèle de permissions de Passbolt ; attendez-vous à refaire la matrice de partage.

Télécharger : passbolt.com/community-downloads

Conclusion : Choisissez ceci quand une petite entreprise a besoin d’un vrai partage et est disposée à apprendre un concept GPG.

4. Psono, idéal pour l’auto-hébergement d’entreprise

Psono est l’option d’entreprise construite en Allemagne pour les auto-hébergeurs qui veulent LDAP, SAML, rôles granulaires et un audit de sécurité écrit sans payer le niveau entreprise de Bitwarden. La Community Edition est open-source et gratuite pour les utilisateurs illimités ; la build Entreprise ajoute SSO, journalisation d’audit et support prioritaire. Psono vs Vaultwarden en 2026 : destiné à la même foule d’auto-hébergeurs mais avec le département IT à l’esprit.

Points faibles : La Community Edition omet les fonctionnalités que les équipes de taille moyenne attendent (rétention du journal d’audit, SAML, support de modules de sécurité matérielle). Les extensions de navigateur sont compétentes mais pas aussi polies que celles de Bitwarden.

Tarification :

Migration depuis Vaultwarden : Exportez Vaultwarden, convertissez via l’importateur CSV de Psono. Le partage se réorganise autour du modèle de groupe de Psono, qui est plus proche d’Active Directory qu’aux Collections Bitwarden. Prévoyez un weekend si l’équipe dépasse 25 personnes.

Télécharger : psono.com

Conclusion : Choisissez ceci quand une entreprise a besoin de LDAP/SAML et le choc de prix Bitwarden Enterprise est trop élevé.

5. Padloc, idéal pour une interface moderne légère

Padloc est la réponse pour les auto-hébergeurs qui ont aimé l’empreinte minimale de Vaultwarden mais voulaient une interface plus polie. Il s’exécute sur un seul processus Node.js, communique via WebSockets pour la synchronisation en direct et livre un coffre-fort web, une extension de navigateur et des applications mobiles. Le niveau gratuit couvre tout ce qu’un individu ou une petite famille a besoin. Padloc vs Vaultwarden en 2026 : budget de ressources similaire, interface plus moderne, écosystème plus petit.

Points faibles : La communauté autour de Padloc est plus petite que celle de Vaultwarden, donc les outils tiers (CLI, aides de synchronisation, pages de statut) sont plus maigres. Les fonctionnalités d’entreprise sont minimales.

Tarification :

Migration depuis Vaultwarden : Padloc importe directement l’export CSV de Bitwarden. Les dossiers et les éléments de base arrivent. Les types de champs personnalisés et les pièces jointes nécessitent une passe manuelle.

Télécharger : padloc.app

Conclusion : Choisissez ceci quand l’interface compte plus que la liste de contrôle des fonctionnalités et que vous n’avez pas besoin de contrôles au niveau org.

6. Pass (le gestionnaire de mots de passe unix standard), idéal pour les utilisateurs en terminal

Pass stocke chaque mot de passe dans un fichier chiffré avec GPG à l’intérieur d’un repository Git. C’est tout le produit. Il n’y a pas d’interface graphique, pas de coffre-fort web, pas de serveur : un shell de développeur, une clé GPG et un repo Git distant sont la stack entière. Les plugins l’étendent avec TOTP, l’auto-remplissage du navigateur (browserpass) et les clients Android/iOS. Pass vs Vaultwarden en 2026 : minimaliste au maximum, portable au maximum, pas de guide GUI.

Points faibles : Ne convient pas à quiconque n’est pas à l’aise dans un terminal. Le partage nécessite d’apprendre à chaque destinataire comment importer une clé GPG. Les membres de la famille ne l’utiliseront pas.

Tarification :

Migration depuis Vaultwarden : Un script communautaire lit l’export JSON chiffré de Bitwarden et écrit un fichier .gpg par entrée. La structure des dossiers devient une hiérarchie de répertoires. Les pièces jointes ne se transfèrent pas.

Télécharger : passwordstore.org

Conclusion : Choisissez ceci quand vous vivez dans le terminal et que votre gestionnaire de mots de passe n’a pas besoin d’interface.

7. Teampass, idéal pour les dossiers d’équipe basés sur navigateur

Teampass est le gestionnaire de mots de passe auto-hébergé PHP/MySQL de longue date pour les organisations qui veulent une interface navigateur uniquement avec des autorisations par dossier. Il précède les clones Bitwarden de plusieurs années et reste un choix sensé pour les équipes qui ont une stack LAMP et ne veulent pas ajouter un autre runtime. Teampass vs Vaultwarden en 2026 : une esthétique différente, mais l’arborescence de permissions est plus difficile à dépasser.

Points faibles : L’interface est datée et manque les petites touches (support des clés d’accès, applications mobiles aussi polies que celles de Bitwarden) que les alternatives plus récentes offrent. La base de code est PHP, que certaines équipes voient comme un compromis de sécurité.

Tarification :

Migration depuis Vaultwarden : Exportez Vaultwarden en CSV, puis lancez l’import de Teampass. La hiérarchie des dossiers correspond presque directement. Le partage par collection doit être re-modélisé en tant que rôles Teampass.

Télécharger : teampass.net

Conclusion : Choisissez ceci quand une petite organisation exécute déjà LAMP et veut un gestionnaire de mots de passe navigateur uniquement.

Comment choisir

FAQ

Le serveur officiel de Bitwarden est-il meilleur que Vaultwarden ?

Le serveur officiel de Bitwarden est plus complet et plus conservateur. Il livre chaque fonctionnalité en premier, supporte chaque intégration d’entreprise et exécute le même code que Bitwarden héberge en production. Vaultwarden est plus léger, exécute sur un quart du matériel et convient pour un ménage. Le bon choix dépend de si vous avez besoin de la surface de fonctionnalité d’entreprise ou juste d’un coffre-fort personnel.

Puis-je exécuter un gestionnaire de mots de passe auto-hébergé sur un Raspberry Pi ?

Oui pour Vaultwarden, KeePassXC (fichier uniquement, pas de serveur), Padloc et Pass. Bitwarden Self-Hosted s’exécutera sur un Raspberry Pi 4 avec 4 GB de RAM mais vous ressentirez la base de données sous charge. Psono et Passbolt sont quelque part entre les deux.

Quel est le gestionnaire de mots de passe auto-hébergé le plus sûr ?

Les sept projets utilisent le chiffrement audité au repos. Le modèle de menace qui varie est le serveur : KeePassXC et Pass n’ont jamais de serveur en texte brut, tandis que Vaultwarden, Bitwarden, Padloc, Psono et Passbolt s’appuient sur les clés dérivées du mot de passe principal ne quittant jamais le client. La re-chiffrement GPG par destinataire de Passbolt est le modèle le plus paranoïaque quand les identifiants partagés sont la menace.

Mes clients Bitwarden fonctionneront-ils avec ces alternatives ?

Les clients officiels de Bitwarden fonctionnent avec Bitwarden Self-Hosted, Vaultwarden et (via le mode API) Padloc. Ils ne fonctionnent pas avec KeePassXC, Pass, Passbolt, Psono ou Teampass, chacun d’eux livre ses propres clients.

Comment migrer depuis Vaultwarden sans perdre les codes 2FA ?

Exportez Vaultwarden en JSON chiffré, puis importez dans la cible. Les secrets TOTP voyagent comme partie de l’entrée, donc les codes 2FA existants continuent de fonctionner dans le nouveau coffre-fort. Les clés d’accès sont liées à l’origine et doivent être re-enregistrées sur chaque site, indépendamment du coffre-fort vers lequel vous migrez.

Quelle est l’alternative à Vaultwarden la moins chère ?

Chaque alternative sur cette liste a un niveau entièrement gratuit pour l’auto-hébergement. KeePassXC et Pass ont le coût de fonctionnement le plus bas car ils n’ont pas besoin d’un serveur du tout.