En décembre 2022, des pirates ont copié les coffres-forts chiffrés de millions d’utilisateurs de LastPass après être restés près de trois mois sur ses serveurs. Depuis, une question revient sans arrêt : pourquoi faire confiance à un logiciel dont personne ne peut lire le code ? C’est exactement ce que règle un gestionnaire de mot de passe open source. Son code est public, auditable, souvent gratuit. Mais tous ne se valent pas, et certains réclament bien plus de travail qu’ils ne l’avouent.
Le camp du cloud : Bitwarden domine, mais avec un défaut bien visible
Bitwarden est la référence pour qui veut de l’open source sans se compliquer la vie. La version gratuite stocke un nombre illimité de mots de passe et se synchronise sur tous les appareils, là où LastPass limite désormais son offre gratuite à un seul type d’appareil. Le plan Premium coûte 10 dollars par an et ajoute l’authentificateur TOTP intégré, les rapports d’hygiène du coffre, 1 Go de stockage chiffré et l’accès d’urgence. Le code est audité régulièrement par le cabinet Cure53, ce qui le place dans une autre catégorie de transparence que les solutions fermées.
Le vrai reproche tient à l’interface. Elle reste austère, presque datée face à 1Password ou Dashlane qui misent sur le design. La fonction de remplissage automatique fonctionne, mais demande parfois deux clics de trop. Pour migrer depuis LastPass, Chrome ou KeePass, l’importateur prend en charge plus de 50 formats via un simple fichier CSV ou JSON, et la bascule se fait en moins de dix minutes pour un coffre de taille moyenne.
Le camp du local : KeePassXC pour le contrôle absolu
À l’opposé se trouvent les solutions qui ne dépendent d’aucun serveur. KeePass , l’ancêtre, stocke tout dans un fichier .kdbx chiffré en AES-256 posé sur votre disque. Son interface rebute le premier venu : elle date visuellement et n’embarque aucune extension de navigateur native. KeePassXC , le fork moderne, corrige l’essentiel avec une extension compatible Chrome, Firefox et Edge. Comptez tout de même environ une heure de configuration initiale pour un utilisateur sans bagage technique, entre l’installation de l’extension et la mise en place d’une synchronisation maison.

C’est là que se cache le piège le plus fréquent. KeePassXC ne synchronise rien tout seul. Beaucoup posent leur fichier .kdbx sur un cloud grand public sans protection supplémentaire, ce qui annule une grande partie des garanties de sécurité. La bonne pratique consiste à passer par un dossier chiffré ou un Nextcloud personnel, et à conserver une copie hors ligne. En échange de cet effort, vos données ne quittent jamais un serveur que vous ne contrôlez pas. C’est le choix logique pour qui refuse tout intermédiaire.
L’auto-hébergement : puissant, mais à vos risques et périls
Entre les deux mondes, l’auto-hébergement séduit les bricoleurs. Vaultwarden est un serveur écrit en Rust, compatible avec toutes les applications officielles Bitwarden, assez léger pour tourner sur un Raspberry Pi là où le serveur officiel exige bien plus de ressources. Passbolt , développé au Luxembourg, vise les équipes : il chiffre chaque partage avec la clé publique du destinataire et propose une édition communautaire entièrement gratuite. Psono cible aussi les entreprises avec la prise en charge SAML et LDAP.
Le danger ne vient pas du logiciel, mais de la maintenance. Héberger son coffre signifie gérer soi-même les certificats HTTPS, les mises à jour et surtout les sauvegardes. Une instance Vaultwarden sans backup automatique est une bombe à retardement : un disque qui lâche, et tout disparaît. La règle minimale est une sauvegarde chiffrée quotidienne stockée ailleurs que sur le serveur lui-même. Sans cette discipline, l’auto-hébergement expose à plus de risques qu’un bon vieux service cloud.
Comparaison : cloud, local ou auto-hébergé ?
| Critère | Bitwarden (cloud) | KeePassXC (local) | Vaultwarden (auto-hébergé) |
|---|---|---|---|
| Prix | Gratuit, Premium à 10 $/an | Gratuit | Gratuit (serveur à votre charge) |
| Synchronisation | Automatique, multi-appareils | Manuelle, à configurer | Automatique via votre serveur |
| Difficulté de prise en main | Faible | Moyenne (≈ 1 h de réglages) | Élevée |
| Contrôle des données | Serveur de l’éditeur | Total | Total |
| Sauvegarde | Gérée par l’éditeur | À votre charge | À votre charge |
Un point mérite d’être posé clairement : open source ne veut pas dire invulnérable. En février 2026, des chercheurs de l’ETH Zurich et de l’université de la Suisse italienne ont décrit 27 attaques visant Bitwarden, LastPass et Dashlane, dont 12 contre Bitwarden seul, en exploitant des failles de l’architecture zero-knowledge côté serveur. La transparence du code accélère les correctifs, mais ne dispense pas de bonnes habitudes comme le verrouillage automatique du coffre après inactivité.
Pour qui ? Le bon choix selon votre profil
Le grand public et les débutants ont intérêt à rester sur Bitwarden gratuit. Il couvre 95 % des besoins personnels sans configuration, et la migration depuis un navigateur prend quelques minutes. Les puristes de la vie privée, à l’aise avec la gestion de fichiers, préféreront KeePassXC pour ne jamais confier leurs identifiants à un tiers. Les amateurs de homelab qui possèdent déjà un Raspberry Pi ou un NAS trouveront dans Vaultwarden le compromis idéal entre confort Bitwarden et maîtrise totale. Enfin, une PME qui partage des accès en équipe regardera du côté de Passbolt ou des organisations Bitwarden, conçues pour la gestion par groupes et le provisionnement des utilisateurs.
Le choix dépend d’un seul arbitrage
Tout se joue sur une tension : le confort du cloud contre le contrôle du local. Bitwarden gagne pour la simplicité, KeePassXC pour la souveraineté, Vaultwarden pour ceux qui aiment mettre les mains dans le cambouis. Quelle que soit la solution retenue, le facteur décisif reste le même : un mot de passe maître long et unique , doublé d’une sauvegarde fiable. Le meilleur gestionnaire du monde ne protège rien si sa clé tient en huit caractères.








