4.8 KiB
4.8 KiB
title: Vaultwarden created: 2026-06-06 updated: 2026-06-06 type: app tags: [catalogue, 2FA, password-manager, security, rust] confidence: high contested: false sources: [https://selfh.st/apps/?tag=2FA, https://github.com/dani-garcia/vaultwarden]
🔐 Vaultwarden
Serveur Bitwarden-compatible, écrit en Rust. Le standard de facto pour auto-héberger son gestionnaire de mots de passe.
📋 Informations Générales
| Champ | Valeur |
|---|---|
| Site web | github.com/dani-garcia/vaultwarden |
| GitHub | dani-garcia/vaultwarden |
| License | AGPL-3.0 |
| Langage | Rust |
| Étoiles GitHub | 62k ⭐ |
| Dernière MAJ | 2026-06-05 |
| Catégorie | [[cat-2fa |
| Mainteneur | dani-garcia + communauté |
📝 Description
Vaultwarden est une réécriture non-officielle du serveur Bitwarden en Rust, beaucoup plus légère que l'original. Elle supporte tous les clients Bitwarden (browser, mobile, desktop) et inclut :
- Stockage chiffré de mots de passe
- Authentification 2FA (TOTP, WebAuthn, YubiKey, Duo, Email)
- Partage sécurisé entre utilisateurs
- Génération de mots de passe
- Audit des mots de passe compromis (HaveIBeenPwned)
- Support de fichiers joints chiffrés
- API compatible avec tous les clients Bitwarden officiels
Avantage clé : consomme ~100 Mo de RAM (vs 1+ Go pour le serveur officiel Bitwarden en C#/.NET).
🚀 Installation
Option 1 : Docker Compose (recommandé)
# docker-compose.yml
version: '3.8'
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
- DOMAIN=https://vault.example.com
- SIGNUPS_ALLOWED=true
- INVITATIONS_ALLOWED=true
- SHOW_PASSWORD_HINT=false
- LOG_LEVEL=info
- ROCKET_PORT=80
volumes:
- ./data:/data
ports:
- "8080:80"
# Optionnel : désactiver les nouvelles inscriptions après setup
# - SIGNUPS_ALLOWED=false
Avec traefik (reverse proxy), voici un exemple plus complet :
version: '3.8'
services:
vaultwarden:
image: vaultwarden/server:latest
container_name: vaultwarden
restart: unless-stopped
environment:
- DOMAIN=https://vault.example.com
- SIGNUPS_ALLOWED=true
- LOG_LEVEL=info
volumes:
- vw-data:/data
labels:
- "traefik.enable=true"
- "traefik.http.routers.vaultwarden.rule=Host(`vault.example.com`)"
- "traefik.http.routers.vaultwarden.entrypoints=websecure"
- "traefik.http.routers.vaultwarden.tls.certresolver=letsencrypt"
- "traefik.http.services.vaultwarden.loadbalancer.server.port=80"
networks:
- proxy
traefik:
# ... votre config Traefik existante
volumes:
vw-data:
networks:
proxy:
external: true
Option 2 : Docker run
docker run -d \
--name vaultwarden \
--restart unless-stopped \
-e DOMAIN=https://vault.example.com \
-v /path/to/data:/data \
-p 8080:80 \
vaultwarden/server:latest
⚙️ Configuration Initiale
- Démarrer le conteneur (Docker Compose ci-dessus)
- Créer un compte sur
https://vault.example.com - Désactiver les inscriptions après votre premier compte :
- SIGNUPS_ALLOWED=false - Activer le 2FA dans les paramètres de votre compte
- Installer les clients :
- Browser : extension Bitwarden
- Mobile : app Bitwarden (iOS/Android)
- Desktop : app Bitwarden
🔄 Alternatives
Open Source
- app-bitwarden — Serveur officiel (plus lourd, C#/.NET)
- app-passbolt — Orienté équipes, PHP
- KeePassXC — Local only (pas de sync cloud)
Propriétaires (ce que Vaultwarden remplace)
- 1Password — Propriétaire, ~60$/an
- LastPass — Piraté en 2022, déconseillé
- Dashlane — Propriétaire
- Keeper — Propriétaire
🔐 Sécurité
- Chiffrement : AES-256 côté serveur, zéro-knowledge (Bitwarden ne peut pas lire vos mots de passe)
- 2FA : Supporte TOTP, WebAuthn/FIDO2, YubiKey, Duo, Email
- Backups :
./datacontient la base SQLite — sauvegarder régulièrement ! - HTTPS obligatoire : Ne JAMAIS exposer en HTTP
📚 Ressources
Pages Liées
- cat-2fa — Catégorie 2FA
- cat-password-manager — Catégorie Password Manager
- traefik — Reverse proxy
- securisation-home-lab — Sécurité du serveur
- recettes-docker-compose — Templates Docker