Les gestionnaires de mots de passe sont devenus essentiels — pourtant, la plupart des gens paient soit des abonnements mensuels pour des services cloud comme 1Password ou LastPass, soit, pire, réutilisent les mêmes mots de passe faibles partout. Mais il existe une troisième option : auto-héberger votre propre gestionnaire de mots de passe qui est tout aussi bon que les alternatives payantes, complètement gratuit et sous votre contrôle total.
Entrez Vaultwarden — un serveur léger et open-source compatible avec tous les clients Bitwarden officiels. Il vous offre l'expérience complète de Bitwarden (extensions de navigateur, applications mobiles, applications de bureau, CLI) tout en stockant vos mots de passe chiffrés sur votre propre matériel. Pas d'abonnements, pas de dépendance au cloud, pas de problèmes de confiance.
Dans ce guide, nous allons configurer Vaultwarden à partir de zéro en utilisant Docker Compose. À la fin, vous aurez un gestionnaire de mots de passe prêt pour la famille qui ne coûte rien à faire fonctionner et qui garde vos données les plus sensibles exactement là où elles appartiennent — avec vous.
Pourquoi Vaultwarden ?
Avant de plonger dans la configuration, comprenons pourquoi Vaultwarden est le choix incontournable pour la gestion de mots de passe auto-hébergée :
| Fonctionnalité | Vaultwarden | Bitwarden Cloud | 1Password |
|---|---|---|---|
| Coût | Gratuit (auto-hébergé) | /bin/zsh-40/an | -60/an |
| Plan Familial | Gratuit (utilisateurs illimités) | /an (6 utilisateurs) | /an (5 utilisateurs) |
| Stockage de Données | Votre serveur | Cloud Bitwarden | Cloud 1Password |
| Chiffrement de bout en bout | ✅ Identique à Bitwarden | ✅ | ✅ |
| Extensions de Navigateur | ✅ Tous les navigateurs | ✅ | ✅ |
| Applications Mobiles | ✅ iOS & Android | ✅ | ✅ |
| Applications de Bureau | ✅ Win/Mac/Linux | ✅ | ✅ |
| Organisations/Partage | ✅ Support complet | ✅ (Premium) | ✅ |
| 2FA (TOTP) | ✅ Intégré | ✅ (Premium) | ✅ |
| Accès d'Urgence | ✅ | ✅ (Premium) | ❌ |
| Envoyer (Partage Sécurisé) | ✅ | ✅ | ❌ |
| Accès Hors Ligne | ✅ Copie locale du coffre | ✅ | ✅ |
L'idée clé : Vaultwarden implémente la même API que le serveur officiel de Bitwarden, donc vous obtenez la même expérience client exacte — applications soignées, remplissage automatique fluide, partage sécurisé — sans payer pour l'hébergement cloud. Le serveur officiel de Bitwarden nécessite des ressources substantielles (plusieurs conteneurs, SQL Server), tandis que Vaultwarden fonctionne très bien sur un Raspberry Pi.
Ce dont vous aurez besoin
Les exigences sont minimales :
- Un serveur — n'importe quelle machine Linux, VPS, NAS, ou même un Raspberry Pi. Vaultwarden utilise environ 50 Mo de RAM.
- Docker et Docker Compose — la méthode d'installation recommandée.
- Un nom de domaine (recommandé) — pour un accès HTTPS. Vous pouvez utiliser un sous-domaine gratuit de services comme DuckDNS si nécessaire.
- Environ 10 minutes — sérieusement, c'est aussi rapide que ça.
🔒 Sécurité d'abord
- ⚠️HTTPS est obligatoire pour une utilisation en production. Les clients Bitwarden nécessitent un contexte sécurisé (HTTPS) pour fonctionner correctement. Nous allons voir comment le configurer.
- 💡Votre mot de passe maître n'est jamais stocké — seulement un hachage cryptographique. Même si quelqu'un vole votre serveur, il ne peut pas lire vos mots de passe sans le mot de passe maître.
Étape 1 : Installer Docker
Si Docker n'est pas déjà installé, configurez-le avec le script de commodité officiel :
# Installer Docker
curl -fsSL https://get.docker.com | sh
# Ajoutez votre utilisateur au groupe docker
sudo usermod -aG docker clawdbot
# Déconnectez-vous et reconnectez-vous, puis vérifiez
docker --version
docker compose versionÉtape 2 : Créer le Répertoire Vaultwarden
Créez un répertoire dédié pour votre gestionnaire de mots de passe :
# Créer et entrer dans le répertoire
mkdir ~/vaultwarden
cd ~/vaultwardenÉtape 3 : Créer le Fichier Docker Compose
Créez un fichier docker-compose.yml :
# Créer le fichier compose
nano docker-compose.ymlCollez cette configuration :
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.yourdomain.com"
SIGNUPS_ALLOWED: "true"
ADMIN_TOKEN: "your-secure-admin-token-here"
SMTP_HOST: "smtp.gmail.com"
SMTP_FROM: "[email protected]"
SMTP_PORT: "587"
SMTP_SECURITY: "starttls"
SMTP_USERNAME: "[email protected]"
SMTP_PASSWORD: "your-app-password"
volumes:
- ./vw-data:/data
ports:
- "127.0.0.1:8080:80"Décomposons les paramètres clés :
- DOMAIN: Votre URL complète avec HTTPS. Cela est requis pour que le coffre web fonctionne correctement.
- SIGNUPS_ALLOWED: Réglez sur "true" initialement pour créer votre compte, puis changez en "false" après la configuration.
- ADMIN_TOKEN: Un jeton sécurisé pour accéder au panneau d'administration. Générez-en un avec :
openssl rand -base64 48 - SMTP_*: Paramètres d'email pour la réinitialisation de mot de passe et les notifications. Optionnel mais recommandé.
- Port binding: Nous nous lions uniquement à 127.0.0.1 — un proxy inverse gérera l'accès externe avec HTTPS.
🔑 Générer un Jeton Administrateur Sécurisé
# Générer un jeton sécurisé
openssl rand -base64 48
# Exemple de sortie : kR9h2s8K...long-random-string...
# Utilisez ceci comme votre ADMIN_TOKENGardez ce jeton en sécurité — il donne un accès complet à votre panneau d'administration Vaultwarden.
Étape 4 : Configurer HTTPS avec Caddy (Recommandé)
Les clients Bitwarden nécessitent HTTPS. La façon la plus simple de le configurer est avec Caddy, qui gère automatiquement les certificats SSL.
Ajoutez Caddy à votre docker-compose.yml :
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
DOMAIN: "https://vault.yourdomain.com"
SIGNUPS_ALLOWED: "true"
ADMIN_TOKEN: "your-secure-admin-token-here"
volumes:
- ./vw-data:/data
networks:
- vaultwarden
caddy:
image: caddy:latest
container_name: caddy
restart: unless-stopped
ports:
- "80:80"
- "443:443"
volumes:
- ./Caddyfile:/etc/caddy/Caddyfile:ro
- ./caddy-data:/data
- ./caddy-config:/config
networks:
- vaultwarden
networks:
vaultwarden:
driver: bridgeCréez le Caddyfile :
# Créer le Caddyfile
nano CaddyfileAjoutez cette configuration :
vault.yourdomain.com {
reverse_proxy vaultwarden:80
}Remplacez vault.yourdomain.com par votre domaine réel. Caddy obtiendra et renouvellera automatiquement les certificats Let's Encrypt.
Étape 5 : Lancer Vaultwarden
Démarrez tout :
# Tirer les images et démarrer
docker compose up -d
# Vérifiez les journaux
docker compose logs -fDonnez à Caddy une minute pour obtenir votre certificat SSL. Vous devriez voir quelque chose comme :
caddy | certificat obtenu avec succès pour vault.yourdomain.comÉtape 6 : Créer Votre Compte
Naviguez vers https://vault.yourdomain.com dans votre navigateur. Vous verrez l'interface du coffre web Bitwarden. Cliquez sur "Créer un Compte" et configurez votre mot de passe maître.
🔐 Conseils pour le Mot de Passe Maître
- ✅Utilisez une phrase de passe — 4+ mots aléatoires sont plus faciles à retenir et plus sécurisés que des mots de passe complexes
- ✅Exemple : "correct-horse-battery-staple-piano" (mais créez le vôtre !)
- ⚠️Ce mot de passe ne peut pas être récupéré s'il est perdu — il n'y a pas de "mot de passe oublié" pour votre clé maître
- 💡Notez-le et conservez-le dans un endroit sûr (coffre physique, boîte de dépôt)
Étape 7 : Désactiver les Inscriptions Publiques
Une fois votre compte créé, désactivez l'inscription publique :
# Éditez votre docker-compose.yml
nano docker-compose.yml
# Changez :
SIGNUPS_ALLOWED: "false"
# Redémarrez
docker compose up -dLes nouveaux utilisateurs ne peuvent maintenant être invités que par le panneau d'administration ou créés par des utilisateurs existants ayant des privilèges d'organisation.
Étape 8 : Configurer les Clients Bitwarden
C'est là que l'auto-hébergement brille — vous utilisez les applications Bitwarden officielles, simplement pointées vers votre serveur.
Extensions de Navigateur
Installez l'extension Bitwarden pour votre navigateur (Chrome, Firefox, Safari).
- Cliquez sur l'icône de l'extension et sélectionnez "Auto-hébergé"
- Entrez l'URL de votre serveur :
https://vault.yourdomain.com - Connectez-vous avec votre compte
Applications Mobiles
Installez Bitwarden depuis l'App Store ou Google Play.
- Appuyez sur le sélecteur de région (affiche "bitwarden.com" par défaut)
- Sélectionnez "Auto-hébergé"
- Entrez l'URL de votre serveur et connectez-vous
Activez le déverrouillage biométrique (Face ID, empreinte digitale) pour un accès rapide sans taper votre mot de passe maître à chaque fois.
Applications de Bureau
Téléchargez depuis bitwarden.com/download — disponible pour Windows, macOS et Linux. Même configuration : Paramètres → Auto-hébergé → entrez votre URL.
Configuration du Partage Familial
Une des meilleures fonctionnalités de Vaultwarden est les organisations illimitées — parfait pour partager des mots de passe avec les membres de la famille.
Créer une Organisation Familiale
- Connectez-vous à votre coffre web
- Cliquez sur "Nouvelle Organisation"
- Nommez-la (par exemple, "Mots de Passe de la Famille")
- Choisissez le plan "Gratuit" (toutes les fonctionnalités sont disponibles)
Inviter des Membres de la Famille
- Allez dans votre organisation → Membres
- Cliquez sur "Inviter un Utilisateur"
- Entrez leur adresse e-mail
- Choisissez leur rôle (Membre, Administrateur ou Propriétaire)
Si les inscriptions sont désactivées, utilisez le panneau d'administration (https://vault.yourdomain.com/admin) pour créer des comptes directement.
Créer des Collections Partagées
Les collections sont comme des dossiers qui peuvent être partagés avec des membres spécifiques :
- Services de Streaming — Netflix, Disney+, etc. (partager avec tout le monde)
- Mots de Passe WiFi — réseau domestique, maisons de parents
- Abonnements Partagés — comptes familiaux que tout le monde utilise
- Infos d'Urgence — comptes bancaires, assurance (restreindre aux membres de confiance)
Renforcement de la Sécurité Essentiel
Votre coffre de mots de passe est une cible de haute valeur. Voici comment le sécuriser :
Activer l'Authentification à Deux Facteurs
Connectez-vous à votre coffre web → Paramètres du Compte → Connexion à Deux Étapes. Les options incluent :
- Application d'Authentification (Google Authenticator, Authy, etc.) — recommandé
- YubiKey — clé matérielle pour une sécurité maximale
- Email — envoie un code à votre email (nécessite la configuration SMTP)
Configurer Fail2Ban
Protégez-vous contre les attaques par force brute en interdisant les IP après des tentatives de connexion échouées. Créez /etc/fail2ban/filter.d/vaultwarden.conf :
[Definition]
failregex = ^.*Le nom d'utilisateur ou le mot de passe est incorrect\. Réessayez\. IP: <ADDR>\. Nom d'utilisateur:.*$
ignoreregex =Et /etc/fail2ban/jail.d/vaultwarden.local :
[vaultwarden]
enabled = true
port = 80,443
filter = vaultwarden
logpath = /path/to/vw-data/vaultwarden.log
maxretry = 5
bantime = 1h
findtime = 15mSauvegardes Régulières
Vos données de coffre se trouvent dans le répertoire ./vw-data. Sauvegardez-les régulièrement :
# Script de sauvegarde simple
#!/bin/bash
BACKUP_DIR="/backup/vaultwarden"
DATE=20260210
# Arrêtez le conteneur pour la cohérence
docker compose -f ~/vaultwarden/docker-compose.yml stop
# Créez une sauvegarde chiffrée
tar -czf - ~/vaultwarden/vw-data | gpg --symmetric --cipher-algo AES256 > "/vaultwarden-.tar.gz.gpg"
# Redémarrez
docker compose -f ~/vaultwarden/docker-compose.yml up -dConservez les sauvegardes hors site — sur un serveur différent, un stockage cloud avec cryptage côté client, ou même une clé USB dans un coffre.
Fonctionnalités Avancées
Bitwarden Send
Send vous permet de partager en toute sécurité des textes ou des fichiers avec quiconque — même des personnes sans compte Bitwarden. Parfait pour partager des mots de passe WiFi avec des invités ou envoyer des documents sensibles.
- Dans n'importe quel client Bitwarden, allez à Envoyer
- Créez un nouvel Envoi (texte ou fichier)
- Définissez une expiration, un nombre d'accès maximum et un mot de passe optionnel
- Partagez le lien généré
Accès d'Urgence
Désignez des contacts de confiance qui peuvent demander l'accès à votre coffre si quelque chose vous arrive :
- Allez dans Paramètres → Accès d'Urgence
- Ajoutez des contacts de confiance (ils ont besoin de comptes Vaultwarden)
- Définissez une période d'attente (par exemple, 7 jours)
- S'ils demandent l'accès et que vous ne refusez pas dans la période d'attente, ils obtiennent un accès en lecture seule à votre coffre
Panneau d'Administration
Accédez au panneau d'administration à https://vault.yourdomain.com/admin en utilisant votre ADMIN_TOKEN. Ici, vous pouvez :
- Voir tous les utilisateurs et organisations
- Inviter de nouveaux utilisateurs ou supprimer des comptes
- Voir la configuration du serveur et les diagnostics
- Effectuer la maintenance de la base de données
Importer des Mots de Passe Existants
Vous passez d'un autre gestionnaire de mots de passe ? Bitwarden importe de pratiquement tout :
Depuis Chrome/Firefox
- Exportez les mots de passe de votre navigateur (généralement au format CSV)
- Dans le coffre web Bitwarden : Outils → Importer des Données
- Sélectionnez votre navigateur comme format source
- Téléchargez le fichier
Depuis 1Password, LastPass, Dashlane, etc.
- Exportez depuis votre gestionnaire actuel (vérifiez leur documentation pour les options d'exportation)
- Dans Bitwarden : Outils → Importer des Données
- Sélectionnez l'application source dans le menu déroulant
- Téléchargez votre fichier d'exportation
Après l'importation : Supprimez le fichier d'exportation de manière sécurisée — il contient tous vos mots de passe en texte clair !
Maintenir Vaultwarden à Jour
Les mises à jour apportent des corrections de sécurité et de nouvelles fonctionnalités. Mettez à jour régulièrement :
# Naviguez vers votre répertoire Vaultwarden
cd ~/vaultwarden
# Tirer la dernière image
docker compose pull
# Redémarrer avec la nouvelle version
docker compose up -d
# Nettoyer les anciennes images
docker image prune -fVérifiez la page des versions de Vaultwarden pour les journaux des modifications et les changements majeurs avant les mises à jour importantes.
Dépannage
Impossible d'Accéder au Coffre Web
- Vérifiez que votre variable d'environnement
DOMAINcorrespond exactement à votre URL réelle - Vérifiez le certificat SSL :
curl -I https://vault.yourdomain.com - Vérifiez les journaux de Caddy :
docker compose logs caddy
Notifications par Email Non Fonctionnelles
- Si vous utilisez Gmail, vous avez besoin d'un Mot de Passe d'Application (pas votre mot de passe habituel)
- Vérifiez les paramètres SMTP dans le panneau d'administration → Diagnostics
- Essayez d'envoyer un email de test depuis le panneau d'administration
Application Mobile Impossible à Connecter
- Assurez-vous que vous utilisez HTTPS (pas HTTP)
- Vérifiez que le certificat SSL est valide (pas auto-signé, à moins que vous ne l'ayez installé sur votre appareil)
- Essayez d'accéder à l'URL du coffre web dans le navigateur de votre téléphone d'abord
FAQ
Vaultwarden est-il aussi sécurisé que Bitwarden ?
Oui. Vaultwarden implémente le même schéma de chiffrement (AES-256-CBC avec PBKDF2-SHA256 ou Argon2id). Votre coffre est chiffré localement avec votre mot de passe maître avant que des données ne touchent le serveur. Même si quelqu'un compromet votre serveur, il ne peut pas lire vos mots de passe sans votre mot de passe maître.
Que se passe-t-il si mon serveur tombe en panne ?
Les clients Bitwarden mettent en cache votre coffre localement. Vous pouvez toujours accéder et remplir automatiquement des mots de passe hors ligne. Vous ne pouvez simplement pas synchroniser de nouveaux changements tant que le serveur n'est pas de nouveau en ligne.
Puis-je utiliser cela avec plusieurs appareils ?
Absolument. Connectez-vous sur autant d'appareils que vous le souhaitez — téléphones, tablettes, ordinateurs, navigateurs. Les changements se synchronisent automatiquement.
Y a-t-il une limite sur les mots de passe ou les utilisateurs ?
Non, pas de limites artificielles. Stockez autant de mots de passe que vous le souhaitez, créez autant de comptes utilisateurs et d'organisations que vous en avez besoin. La seule limite est l'espace de stockage de votre serveur.
Puis-je migrer de nouveau vers le cloud Bitwarden plus tard ?
Oui. Exportez votre coffre depuis Vaultwarden (Outils → Exporter le Coffre), puis importez-le dans un compte cloud Bitwarden. Vos données sont portables.
Et ensuite ?
Vous avez maintenant un gestionnaire de mots de passe de qualité professionnelle fonctionnant sur votre propre infrastructure. Voici comment en tirer le meilleur parti :
- Importez tous vos mots de passe depuis les navigateurs et d'autres gestionnaires
- Installez l'extension de navigateur sur chaque appareil — le remplissage automatique change la donne
- Configurez le partage familial pour les abonnements et comptes partagés
- Activez 2FA partout — Vaultwarden peut également stocker vos codes TOTP
- Explorez plus d'applications auto-hébergées dans le répertoire de Hostly — peut-être une solution de sauvegarde photo ensuite ?
La sécurité des mots de passe n'est plus optionnelle — elle est essentielle. Avec Vaultwarden, vous obtenez le meilleur des deux mondes : l'expérience soignée des gestionnaires de mots de passe commerciaux, avec la confidentialité et le contrôle de l'auto-hébergement. Vos mots de passe restent les vôtres, chiffrés sur votre matériel, accessibles uniquement avec votre mot de passe maître.
Pas de frais mensuels. Pas de fouilles de données. Pas de confiance requise. Juste une gestion sécurisée et privée des mots de passe pour vous et votre famille.