Auto-héberger Vaultwarden sur un VPS.
Votre propre coffre compatible Bitwarden, en 30 minutes.
Vaultwarden est le serveur de mots de passe léger, basé sur Rust, compatible Bitwarden. Cinq commandes Docker, un reverse proxy HTTPS, un cron de sauvegarde — et le coffre d'identifiants de chaque compte que vous possédez vit sur un métal que vous louez, pas sur une infrastructure en laquelle vous faites confiance.
- 01
Vaultwarden est compatible Bitwarden au niveau du wire et du coffre — chaque client officiel fonctionne simplement. Tourne dans 50–100 Mo de RAM ; n'importe quel VPS le gère.
- 02
Le coffre est chiffré AES-256 côté client. Le serveur ne voit jamais votre mot de passe maître. Compromettre le VPS donne un blob chiffré, pas des identifiants.
- 03
L'étape non évidente est la couche de métadonnées — payer l'hébergeur avec une carte liée à une identité KYC relie votre vraie identité à l'IP de votre coffre. Un hébergeur no-KYC payé en crypto supprime ce lien.
Ce qu'est Vaultwarden, et ce qu'il n'est pas.
Vaultwarden — anciennement bitwarden_rs — est une réimplémentation côté serveur indépendante de l'API Bitwarden en Rust. Il parle le même protocole wire que le serveur Bitwarden officiel, stocke les coffres dans le même format chiffré et accepte chaque client officiel sans modification. Pour une extension de navigateur Bitwarden ou une application iOS, un serveur Vaultwarden est indiscernable de bitwarden.com.
Les différences intéressantes sont opérationnelles. Le serveur Bitwarden officiel est une stack .NET multi-conteneurs conçue pour le déploiement en entreprise ; l'image d'auto-hébergement publiée attend 2 Go de RAM et une licence SQL Server pour être à l'aise. Vaultwarden est un binaire Rust unique de 15 Mo qui utilise SQLite par défaut, tourne confortablement dans 50 Mo de RAM et démarre à froid en moins d'une seconde. L'ensemble du projet tient dans un seul conteneur Docker sans dépendances.
Ce que vous obtenez, c'est toute la surface de fonctionnalités Bitwarden — coffre de mots de passe, notes sécurisées, fiches d'identité, cartes de paiement, pièces jointes, send (partages chiffrés à usage unique), authentificateur TOTP, Organizations avec collections partagées, 2FA par clé matérielle, remplissage automatique navigateur, déverrouillage biométrique mobile — sans aucune limitation de tier payant. L'équivalent du plan Families et l'équivalent du SSO Enterprise sont tous deux gratuits sur un Vaultwarden auto-hébergé.
Ce que Vaultwarden n'est pas : un serveur formellement audité. Les primitives cryptographiques sont héritées des clients Bitwarden (qui ont été audités indépendamment), mais le serveur Vaultwarden lui-même n'a pas subi un audit de sécurité par un tiers. Pour un coffre personnel ou de petite équipe, c'est un compromis parfaitement raisonnable ; pour une entreprise réglementée, ce ne l'est pas.
Choisir le VPS — pourquoi l'hébergeur que vous louez importe plus que la configuration.
Vaultwarden tourne sur pratiquement n'importe quel VPS Linux — le plancher en ressources est si bas que la fiche technique est le mauvais axe sur lequel se concentrer.
Un coffre de mots de passe est la cible de la plus haute valeur unique qu'une personne privée possède. Le compromettre donne accès à tous les autres comptes qu'elle détient. La posture cryptographique protège le contenu du coffre ; elle ne protège pas les métadonnées autour du coffre — qui a loué l'IP, depuis où, payé avec quelle carte, enregistré sous quel nom.
Quand vous louez un VPS chez un fournisseur grand public avec KYC complet, la base de données de facturation relie votre nom légal à l'IPv4 du serveur. Si l'hébergeur est compromis, ou assigné à comparaître, ou vend simplement des données « anonymisées » à un partenaire d'analyse marketing, le lien survit. Le coffre reste chiffré, mais la couche de métadonnées est perméable par conception.
NordBastion est l'inverse — e-mail et mot de passe comme seul prérequis à l'inscription, paiement en Bitcoin, Monero, Lightning ou autre crypto, quatre régimes constitutionnels nordiques de liberté de la presse pour le centre de données. Le coffre-fort est le vôtre ; la trace de métadonnées reliant le coffre à votre identité n'existe tout simplement pas. Pour héberger Vaultwarden, le <a href="/fr/vps/" class="text-nord-cyan border-b border-nord-cyan/40 hover:border-nord-cyan transition">Ravelin VPS à 5,90 $/mois</a> du niveau d'entrée est confortablement surdimensionné — 2 vCPU, 4 Go de RAM et 80 Go de SSD feront tourner Vaultwarden, le reverse proxy et trois autres applications auto-hébergées sur le même serveur.
L'installation Docker. Cinq commandes, dix minutes.
Démarrez un VPS Debian 12 fraîche, connectez-vous en SSH en tant qu'utilisateur sudo non-root, puis exécutez ces cinq blocs. Substituez vault.example.com par votre propre sous-domaine partout — ce sera l'URL par laquelle vous accéderez au coffre web.
1. Installer Docker. curl -fsSL https://get.docker.com | sh && sudo usermod -aG docker $USER — déconnectez-vous et reconnectez-vous pour que l'appartenance au groupe prenne effet.
2. Créer le répertoire de données. mkdir -p ~/vw-data — l'intégralité de l'état de Vaultwarden (la DB SQLite du coffre, les pièces jointes, le cache d'icônes) vit dans un seul répertoire ; sa sauvegarde est simple de ce fait.
3. Générer le jeton admin. docker run --rm vaultwarden/server /vaultwarden hash --preset owasp — collez le mot de passe administrateur de votre choix à l'invite, capturez la hash Argon2 résultante. Cela protège le panneau /admin.
4. Démarrer le conteneur. docker run -d --name vaultwarden --restart unless-stopped -e DOMAIN="https://vault.example.com" -e ADMIN_TOKEN='<coller-le-hash-de-l-etape-3>' -e SIGNUPS_ALLOWED=false -e WEBSOCKET_ENABLED=true -v ~/vw-data:/data -p 127.0.0.1:8080:80 vaultwarden/server:latest — notez que la liaison -p 127.0.0.1:8080 garde Vaultwarden privé sur l'hôte ; le reverse proxy du chapitre 4 le frontera.
5. Vérifier. curl -s http://127.0.0.1:8080/alive devrait retourner un timestamp. Si c'est le cas, Vaultwarden est opérationnel. Sinon, docker logs vaultwarden.
SIGNUPS_ALLOWED=false à l'étape 4 est le paramètre le plus souvent oublié. Laissez-le à true et votre coffre est ouvert pour quiconque trouve l'URL pour s'inscrire. Passez-le à true uniquement le temps de créer votre propre compte, puis remettez-le à false et redémarrez.
HTTPS et le panel admin. Non optionnel, mais cinq minutes.
Vaultwarden refuse de servir le coffre web en HTTP simple depuis une adresse non-localhost ; chaque client officiel refuse également de communiquer avec un serveur non-HTTPS. L'étape reverse proxy + Let's Encrypt est la porte vers le reste de la configuration. Caddy est le chemin le plus simple — un binaire, ACME automatique, pas de certbot séparé à planifier.
Pointez votre enregistrement DNS A pour vault.example.com vers l'IP du VPS et attendez la propagation (environ deux minutes pour les nouveaux enregistrements chez la plupart des fournisseurs). sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg && echo "deb [signed-by=/usr/share/keyrings/caddy-stable-archive-keyring.gpg] https://dl.cloudsmith.io/public/caddy/stable/deb/debian any-version main" | sudo tee /etc/apt/sources.list.d/caddy-stable.list && sudo apt update && sudo apt install caddy.
Écrivez /etc/caddy/Caddyfile : vault.example.com { reverse_proxy 127.0.0.1:8080 header_up X-Real-IP {remote_host} } — c'est toute la configuration. sudo systemctl reload caddy et en dix secondes, Caddy a récupéré un certificat Let's Encrypt et le coffre est accessible sur https://vault.example.com.
Le panel /admin. Vaultwarden expose une interface d'administration à /admin, protégée par le hash Argon2 que vous avez généré au chapitre 3. Depuis là, vous pouvez désactiver les inscriptions (déjà fait à l'étape 4), définir le serveur SMTP pour les e-mails d'invitation et de réinitialisation de mot de passe, configurer Yubikey ou Duo 2FA, définir des limites par utilisateur et inspecter la liste des utilisateurs. Ouvrez-la une fois, parcourez chaque section, enregistrez les paramètres — ils vivent dans /vw-data/config.json à partir de là.
Un petit détail de durcissement : liez /admin hors de l'internet public entièrement. Ajoutez au Caddyfile : vault.example.com { @admin path /admin* @admin not remote_ip 10.0.0.0/8 192.168.0.0/16 your.home.ip/32 respond @admin 404 ... } — quiconque n'est pas sur votre IP personnelle obtient un 404 quand il sonde /admin ; le panel est invisible depuis l'internet ouvert.
Sauvegardes. L'erreur qui vous coûte tout.
Un coffre de mots de passe qu'on ne peut pas restaurer est un coffre de mots de passe déjà perdu. La stratégie de sauvegarde pour Vaultwarden est simple : un seul répertoire de données, une commande de sauvegarde SQLite, un script de restauration. Le maillon faible n'est jamais la sauvegarde — c'est toujours l'absence de test de restauration.
Quoi sauvegarder. L'arborescence ~/vw-data/ entière. À l'intérieur : db.sqlite3 est le coffre chiffré, attachments/ contient les pièces jointes, config.json contient les paramètres /admin, sends/ contient les partages chiffrés temporaires, rsa_key.* sont les clés de signature JWT utilisées par les sessions.
Comment sauvegarder. SQLite gère la sauvegarde simultanée via sa commande .backup — planifiez un cron nightly : 0 4 * * * docker exec vaultwarden sqlite3 /data/db.sqlite3 ".backup /data/db.sqlite3.bak" && tar czf /backups/vw-$(date -I).tgz -C /home/<user>/vw-data . — un coffre de 50 comptes produit un tarball de moins de 1 Mo.
Où envoyer les sauvegardes. N'importe où qui n'est pas le même VPS. rclone vers un bucket compatible S3, un second VPS, votre NAS domestique via WireGuard, ou une clé USB chiffrée que vous envoyez à un proche une fois par trimestre — choisissez ce qui correspond à votre modèle de menace. La règle fondamentale est la séparation géographique et administrative par rapport au primaire.
L'exercice de restauration. Démarrez un second VPS, copiez-y la sauvegarde d'hier, décompressez-la dans ~/vw-data, exécutez le bloc docker du chapitre 3 en le pointant dessus, ouvrez le coffre web sur un sous-domaine temporaire, connectez-vous avec votre mot de passe maître. Si votre compte s'ouvre et que le coffre se déchiffre, la sauvegarde est réelle. Faites cet exercice une fois maintenant, avant de mettre vos vrais identifiants dans le coffre. Refaites-le tous les six mois.
Clients, partage, mobile. L'écosystème Bitwarden, pointé vers votre serveur.
Installez le client Bitwarden officiel de votre choix — extension de navigateur, application de bureau, iOS, Android. Avant de vous connecter, appuyez sur l'icône d'engrenage en haut à gauche, changez le serveur de bitwarden.com vers https://vault.example.com, puis connectez-vous avec le compte créé au chapitre 4. Le client ne voit pas la différence et se comporte de manière identique à un abonnement Bitwarden géré.
Les clients mobiles comportent une étape supplémentaire : le déverrouillage biométrique nécessite l'enrôlement de l'appareil, que la première connexion sur iOS / Android gère automatiquement. Le remplissage automatique navigateur, le remplissage automatique mobile, la génération TOTP, le générateur de mots de passe, la vérification des violations (HaveIBeenPwned) et Bitwarden Send fonctionnent tous sans configuration supplémentaire.
Partage en famille. Créez une Organisation dans le coffre web → Nouvelle organisation → nommez-la (p. ex. « Famille »), plan gratuit. À l'intérieur de l'organisation, créez une Collection (« Factures partagées », « Services de streaming », « WiFi & routeur »). Invitez chaque membre de la famille par son e-mail local au serveur, acceptez l'invitation lorsqu'il s'inscrit, affectez-le à la collection. À partir de ce moment, tout élément de la collection est chiffré de bout en bout pour chaque membre — le serveur ne voit que du texte chiffré.
Ce pour quoi vous n'avez pas à payer. Toutes les fonctionnalités payantes de Bitwarden qui sont des politiques serveur (Organizations, collections partagées, l'équivalent du plan Families, 2FA par clé matérielle, pièces jointes Send) sont déverrouillées par défaut sur Vaultwarden car le serveur est la porte. Les fonctionnalités payantes qui sont des politiques client (certaines limites premium mobile Bitwarden) sont respectées par les clients sauf si vous les patchez — inutile de le faire pour un utilisateur honnête.
Questions, réponses.
Huit questions qui se posent avant et pendant le premier mois de gestion d'un Vaultwarden auto-hébergé.
Vaultwarden est-il la même chose que Bitwarden ?
Vaultwarden est une réimplémentation indépendante en Rust du serveur Bitwarden, entièrement compatible avec chaque client Bitwarden officiel — extension de navigateur, application de bureau, iOS, Android, CLI. Il n'est pas produit par Bitwarden Inc. Le protocole wire et le format du coffre sont les mêmes ; le binaire du serveur représente environ 1/100ème de la taille et tourne confortablement dans 50–100 Mo de RAM.
Pourquoi auto-héberger Vaultwarden plutôt que payer pour Bitwarden hébergé ?
Trois raisons. Première : personne d'autre ne détient votre coffre chiffré — même si Bitwarden ne peut pas le lire non plus, supprimer le tiers est le modèle de menace le plus propre. Deuxième : le coût — un VPS à 5 $/mois gère une famille de cinq avec de la place pour le reste de votre stack auto-hébergée. Troisième : pas de télémétrie, pas d'endpoints analytiques, pas d'e-mail de vérification de compte lié à un nom.
L'auto-hébergement d'un coffre de mots de passe est-il vraiment sûr ?
Oui — Vaultwarden utilise le même chiffrement côté client que Bitwarden. Le coffre est chiffré avec AES-256 sur le client avant d'être envoyé au serveur ; le serveur ne voit jamais votre mot de passe maître ni aucun texte en clair. Une compromission du VPS donne un blob chiffré qui n'est aussi faible que votre mot de passe maître. Le risque opérationnel est à votre charge (sauvegardes, HTTPS, durcissement du serveur), mais le risque cryptographique est identique à Bitwarden géré.
De quel VPS ai-je besoin ?
Très peu. Vaultwarden lui-même est content avec 1 vCPU et 512 Mo de RAM. Le VPS NordBastion minimum (2 vCPU, 4 Go, 5,90 $/mois) est plus que suffisant pour faire tourner Vaultwarden, le reverse proxy et trois autres services auto-hébergés sur la même machine. L'utilisation du disque est négligeable — un coffre de 50 comptes avec pièces jointes reste sous 200 Mo.
Pourquoi un hébergeur no-KYC payé en crypto est-il important pour un gestionnaire de mots de passe ?
Un coffre de mots de passe est la cible de la plus haute valeur qu'une personne privée possède — il contient les identifiants de chaque autre compte. Louer le serveur sous votre nom légal avec une carte liée à votre identité réelle signifie qu'une compromission de la base de facturation de l'hébergeur relie votre identité à l'IP de votre coffre. Un hébergeur no-KYC payé en crypto supprime ce lien par conception. Le coffre lui-même reste chiffré côté client ; la posture no-KYC protège la couche de métadonnées.
Ai-je vraiment besoin de HTTPS pour le coffre web Vaultwarden ?
Oui, strictement. Vaultwarden refuse de servir le coffre web en HTTP simple depuis toute adresse autre que localhost, et chaque client officiel refuse également de communiquer avec un serveur non-HTTPS. La configuration reverse proxy + Let's Encrypt dans ce guide est non optionnelle. La bonne nouvelle : toute l'étape TLS prend environ trois minutes une fois que votre enregistrement DNS A a propagé.
Quelle est la plus grosse erreur que les gens font en auto-hébergeant Vaultwarden ?
Ne pas tester la restauration depuis la sauvegarde. Un tar.gz nightly de /vw-data/ n'est pas une sauvegarde tant que vous ne l'avez pas décompressé sur un VPS fraîche et que vous ne vous êtes pas connecté avec succès au coffre web restauré. Planifiez pour le cas d'échec : le serveur est parti, le disque est effacé, le seul artefact que vous avez est le fichier de sauvegarde d'hier — pouvez-vous retrouver l'accès à votre coffre ? Faites cet exercice une fois avant de mettre de vrais identifiants dans le coffre.
Puis-je partager mon coffre avec ma famille depuis un Vaultwarden auto-hébergé ?
Oui. Vaultwarden réimplémente la fonctionnalité Organizations de Bitwarden — y compris les collections partagées, les permissions granulaires et l'équivalent du plan Bitwarden Families — sans aucun tier payant. Vous créez une organisation dans le coffre web, invitez votre famille par e-mail (ou en partageant le lien d'invitation directement), et à partir de là, l'UX de partage est identique au produit Bitwarden officiel.
Louez un VPS sans KYC, payez en crypto, faites tourner Vaultwarden aujourd'hui.
Le tier d'entrée Ravelin (2 vCPU, 4 Go de RAM, 80 Go de SSD, 5,90 $/mois) est confortablement surdimensionné pour Vaultwarden et laisse de la place pour le reste de votre stack auto-hébergée sur la même machine.
Dernière révision · 2026-05-20 · Références · Documentation upstream Vaultwarden, matrice de compatibilité clients Bitwarden, Let's Encrypt ACME · Fréquence · annuellement
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
Files, calendar, contacts, photos — owned, not rented.
Postfix, Dovecot, SPF/DKIM/DMARC — deliverability included.
A meta search engine that does not log you — because you own it.
What “no KYC” actually means — and what it does not.