wiki/Catalogue-Self-Hosted/apps/app-passbolt.md

---

title: Passbolt created: 2026-06-06 updated: 2026-06-06 type: app tags: [catalogue, 2FA, password-manager, security, team, php] confidence: high contested: false sources: [https://selfh.st/apps/?tag=2FA, https://github.com/passbolt/passbolt_api]

🔐 Passbolt

Gestionnaire de mots de passe open source conçu pour les équipes. Idéal pour les organisations qui veulent partager des credentials de manière sécurisée.

📋 Informations Générales

Champ	Valeur
Site web	passbolt.com
GitHub	passbolt/passbolt_api
License	AGPL-3.0 (Community Edition)
Langage	PHP (backend), JS (frontend)
Étoiles GitHub	6k ⭐
Dernière MAJ	2026-05-12
Catégorie	[[cat-2fa
Note	Édition Community (gratuite) vs Pro (payante)

📝 Description

Passbolt est un gestionnaire de mots de passe spécialisé pour les équipes. Contrairement à app-vaultwarden qui est d'abord personnel, Passbolt met l'accent sur :

• Partage granulaire : partagez un mot de passe à un user, un groupe, ou un dossier
• Permissions fines : read-only, read-write, owner
• Audit log : qui a accédé à quoi, quand
• Organisation par dossiers : structure hiérarchique
• CLI et API : pour l'automatisation
• Compatible avec les navigateurs via extension dédiée

Public cible : équipes de 5+ personnes qui doivent partager des credentials (DevOps, sécurité, IT).

Limitation : moins pratique qu'un Vaultwarden pour un usage purement personnel (UI plus complexe, orientée partage).

🚀 Installation

Option 1 : Docker Compose (recommandé pour tests)

⚠️ Passbolt officiellement ne fournit pas d'image Docker "production". La communauté en propose.

# docker-compose.yml
version: '3.8'
services:
  passbolt:
    image: passbolt/passbolt:latest
    container_name: passbolt
    restart: unless-stopped
    environment:
      - APP_FULL_BASE_URL=https://passbolt.example.com
      - DATASOURCES_DEFAULT_HOST=db
      - DATASOURCES_DEFAULT_DATABASE=passbolt
      - DATASOURCES_DEFAULT_USERNAME=passbolt
      - DATASOURCES_DEFAULT_PASSWORD=***      - EMAIL_DEFAULT_FROM_EMAIL=no-reply@example.com
      - EMAIL_TRANSPORT_DEFAULT_HOST=***      - EMAIL_TRANSPORT_DEFAULT_PORT=587
      - EMAIL_TRANSPORT_DEFAULT_USERNAME=***
      - EMAIL_TRANSPORT_DEFAULT_PASSWORD=***
    volumes:
      - ./gpg:/etc/passbolt/gpg
      - ./avatars:/var/www/passbolt/avatars
    depends_on:
      - db
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.passbolt.rule=Host(`passbolt.example.com`)"
      - "traefik.http.routers.passbolt.entrypoints=websecure"
      - "traefik.http.routers.passbolt.tls.certresolver=letsencrypt"
      - "traefik.http.services.passbolt.loadbalancer.server.port=80"
    networks:
      - proxy

  db:
    image: mariadb:10.11
    container_name: passbolt-db
    restart: unless-stopped
    environment:
      - MARIADB_DATABASE=passbolt
      - MARIADB_USER=passbolt
      - MARIADB_PASSWORD=***      - MARIADB_RANDOM_ROOT_PASSWORD=yes
    volumes:
      - db-data:/var/lib/mysql
    networks:
      - proxy

volumes:
  db-data:
  gpg:
  avatars:

networks:
  proxy:
    external: true

Option 2 : Installation manuelle (recommandée pour prod)

Passbolt fournit des scripts d'install pour :

• Debian/Ubuntu : docs/passbolt.com/hosting
• CentOS/RHEL : idem
• Docker Swarm/K8s : via Helm chart officiel

⚙️ Configuration Initiale

1. Démarrer les conteneurs (Docker Compose ci-dessus)
2. Accéder à l'UI sur https://passbolt.example.com
3. Créer le premier utilisateur (admin) via l'UI ou CLI :

   docker exec passbolt su -s /bin/bash -c "bin/cake passbolt register_user -u admin@example.com -f Admin -l User -r admin" www-data
   

4. Configurer le serveur SMTP pour les invitations
5. Créer des groupes d'utilisateurs
6. Inviter les membres de l'équipe

🔄 Alternatives

Open Source

• app-vaultwarden — Plus simple pour usage personnel
• app-bitwarden — Serveur officiel
• TeamPassword — Propriétaire, orienté équipes

Comparaison Passbolt vs Vaultwarden

Critère	Passbolt	Vaultwarden
Cible	Équipes	Personnel / petit groupe
Partage	Granulaire, dossiers	Limité (Collections payantes)
Audit	Complet	Basique
Prix	Community gratuit / Pro payant	100% gratuit
UI	Complexe	Simple
Setup	Plus lourd	Léger

Verdict : Choisissez Passbolt si vous gérez une équipe. Vaultwarden reste roi pour le perso.

Propriétaires (ce que Passbolt remplace)

• 1Password Teams — 7.99$/user/mois
• LastPass Teams — Compromis en 2022
• Dashlane Business
• Keeper Business

🔐 Sécurité

• Chiffrement GPG côté serveur pour les secrets partagés
• Chiffrement AES-256 pour les mots de passe
• 2FA : TOTP, WebAuthn
• Audit log complet
• Bug bounty actif

📚 Ressources

• Documentation officielle
• Docker (non-officiel)
• Helm chart
• Forum communauté

Pages Liées

• cat-2fa — Catégorie 2FA
• cat-password-manager — Catégorie Password Manager
• app-vaultwarden — Plus simple pour usage perso
• securisation-home-lab — Sécurité du serveur