Vaultwarden : héberger ses mots de passe chez soi
MAJ du 12 avril 2026
Vos mots de passe et vos clés vivent encore en clair, dans un fichier texte, un .env, un script. Il suffit d'un copier-coller malheureux ou d'un dossier rendu public pour les exposer, et vous le savez. La vraie solution n'est pas de mieux les cacher, c'est de ne plus jamais en avoir qui traînent.
Cette masterclass vous fait installer Vaultwarden chez vous : un coffre-fort de mots de passe hébergé sur votre propre serveur, que vous seul contrôlez, avec une ligne de commande qui permet à vos scripts et à votre IA de récupérer une clé au moment précis où ils en ont besoin, sans qu'elle traîne jamais dans un fichier.
Ce que cet exercice ne peut pas casser
L'exercice de cette masterclass se fait sur une feuille de papier. Vous ne touchez encore à aucun serveur, vous ne déplacez aucun secret, vous ne cassez aucun script. Vous dressez simplement la carte de ce qui traîne en clair : au pire, vous apprenez quelque chose d'inconfortable sur votre installation actuelle.
Ce que vous saurez faire à la fin
- Comprendre pourquoi un coffre auto-hébergé bat un fichier texte ou un coffre cloud pour vos secrets sensibles.
- Installer Vaultwarden sur votre serveur et le verrouiller correctement (admin, 2FA, inscriptions fermées).
- Brancher vos extensions et vos applis sur votre propre instance, sans rien changer à vos habitudes.
- Récupérer une clé en ligne de commande pour que vos scripts ne stockent plus jamais de secret en clair.
- Niveau membre· le prompt prêt à coller qui audite votre installation et vous écrit votre plan de migration pas à pas.
- Niveau Pro· je verrouille votre coffre et branche vos secrets avec vous, en direct.
Du coffre vide au coffre verrouillé, branché, interrogeable en ligne de commande et sauvegardé.
Pourquoi cette méthode, et pourquoi six étapes
La plupart des fuites de secrets ne viennent pas d'un pirate génial. Elles viennent d'un fichier oublié, d'un copier-coller, d'un dépôt rendu public sans réfléchir. La méthode qui suit ne vous rend pas paranoïaque : elle déplace simplement vos secrets de l'endroit le plus exposé (un fichier en clair) vers le seul endroit qui tient (un coffre chiffré que vous seul ouvrez). Six étapes, parce que chacune neutralise un risque précis. On ne peut pas en retirer une sans rouvrir une porte, ni en ajouter sans alourdir pour rien.
1Installer le coffre : votre serveur devient votre clouddoute : « encore une usine à gaz à monter ? »
Vaultwarden est une version légère de Bitwarden que vous hébergez vous-même : compatible avec toutes les applis et extensions Bitwarden, mais vos données restent chez vous. Sur un serveur Cloudron, l'installation passe par l'App Store : vous cherchez Vaultwarden, vous cliquez sur Install, vous choisissez un sous-domaine (par exemple vault.votredomaine.com). En deux ou trois minutes, le serveur télécharge l'image, configure le certificat de sécurité et crée la base de données. Tant que le coffre n'existe pas, le reste est théorique : cette étape vous donne le lieu où tout va vivre.
2Le mot de passe maître : la seule clé que vous garderez en têtedoute : « et si je le perds ? »
Vous créez votre compte avec un email et un mot de passe maître. Ce mot de passe est différent de tous les autres : unique, jamais réutilisé, au moins quatorze caractères. C'est la seule chose que vous aurez à retenir, tout le reste sera généré et rangé dans le coffre. Ne le stockez jamais dans un fichier ni sur un post-it : si vous le perdez, vos données sont irrécupérables, par conception. Écrivez-le sur papier et rangez ce papier dans un endroit sûr. Un coffre sans maître solide n'est qu'une illusion de sécurité.
3Verrouiller l'administration : fermer la porte derrière vousdoute : « fermer quoi, exactement ? »
Par défaut, une instance fraîche peut accepter de nouvelles inscriptions, et vous ne voulez pas ça : vous êtes le seul utilisateur. Vous activez le panneau d'administration avec un jeton long et aléatoire, vous désactivez les inscriptions publiques, et vous activez la double authentification (2FA) sur votre compte. Sans cette étape, n'importe qui tombant sur votre adresse pourrait créer un compte sur votre serveur. C'est elle qui transforme un coffre ouvert en coffre privé.
4Brancher vos accès : le confort sans le clouddoute : « vais-je perdre mes habitudes ? »
Vaultwarden parle le même langage que Bitwarden. Vous installez l'extension Bitwarden dans votre navigateur, l'appli sur votre téléphone, le client sur votre ordinateur si vous voulez. La seule manipulation : dans les réglages de chaque client, remplacer l'adresse du serveur par celle de votre instance. À partir de là, remplissage automatique, génération de mots de passe forts, synchronisation : tout fonctionne comme un gestionnaire classique, sauf que les données ne passent par aucun tiers. Un coffre qu'on n'utilise pas au quotidien finit abandonné.
5Récupérer une clé en ligne de commande : la pièce qui change toutdoute : « quel rapport avec mon IA ? »
C'est l'étape qui transforme un simple gestionnaire de mots de passe en outil pour vos automatisations. Vous installez la ligne de commande Bitwarden sur votre serveur, vous la pointez vers votre instance, vous vous connectez. À partir de là, vous pouvez demander une clé précise par son nom et la récupérer au moment exact où un script en a besoin. La clé n'est plus jamais écrite dans un fichier : elle est tirée du coffre chiffré, utilisée, puis oubliée. C'est ce qui permet à votre IA de travailler avec vos secrets sans jamais les voir en clair.
6Sauvegarder le coffre : ne jamais tout perdredoute : « et si le serveur meurt ? »
Un coffre qui contient toute votre vie numérique et que vous seul pouvez ouvrir, c'est aussi un point de défaillance unique. Vous exportez régulièrement une copie chiffrée de votre coffre, et vous la rangez sur un support différent du serveur : une clé USB, un disque externe, un autre cloud. Le fichier reste chiffré par votre mot de passe maître, même volé il est inutilisable. Un coffre sans sauvegarde transforme un incident serveur en catastrophe définitive.
À vous de jouer : la carte de vos secrets exposés
Ne touchez pas encore à un serveur. Prenez une feuille : c'est cet inventaire papier qui décidera de tout l'ordre de migration.
Le résultat, en 30 secondes
À partir de votre seul inventaire de secrets et de vos fichiers, le prompt vous rend le plan de migration ordonné qui sort chaque clé de vos fichiers en clair.
Carte des secrets exposés : clé API Anthropic, dans script.sh ligne 3, facturation IA, risque élevé. Mot de passe de base, dans le .env du cron, données clients, risque élevé. Ordre de migration : 1. la clé API (elle ouvre le plus de portes et vit dans un dépôt public), 2. le mot de passe de base. Plan pour la clé API : créez l'entrée « API Anthropic » dans le coffre, puis remplacez la ligne 3 par une récupération en ligne de commande à l'exécution.
Le prompt prêt à coller
# RÔLE Vous êtes un expert en sécurité applicative et en gestion de secrets, rigoureux et pédagogue. Vous vous adressez à un consultant ou un solo qui héberge son propre coffre de mots de passe. Vous ne vous appuyez QUE sur les informations que je vous donne. Tout ce qui manque, vous me le demandez avant de l'utiliser. Vous n'inventez aucun nom de fichier, aucune clé, aucun chemin : si une information est absente, vous me la réclamez. # CONTEXTE Je viens d'installer un coffre de mots de passe auto-hébergé (de type Vaultwarden, compatible Bitwarden) et je veux y migrer mes secrets pour qu'ils ne traînent plus jamais en clair dans mes fichiers et mes scripts. Ma matière (si j'en ai) :
Le prompt audite votre situation, liste vos secrets exposés et vous écrit votre plan de migration ordonné, adapté à votre stack, secret par secret. Si vous partez de zéro, il passe en mode interview et vous interroge point par point. Laissez votre email, je vous l'envoie.
Vérifiez que c'est à vous
Votre inventaire fait apparaître trois secrets en clair : un mot de passe Netflix dans une note de téléphone, une clé API qui donne accès à votre facturation et qui vit dans un script d'un dépôt public, et un mot de passe Wi-Fi sur un post-it. Lequel migrez-vous en premier ?
D'abord avec vos mots, sans regarder les options :
Expliquez-le pour l'ancrer
En une phrase, à un confrère qui garde encore ses clés dans un fichier texte : qu'est-ce qui change quand un script tire sa clé du coffre au moment de l'exécution au lieu de la lire dans un fichier ? Si vous savez le dire simplement, c'est à vous.
Ce que vous savez faire maintenant
- Installer et verrouiller un coffre Vaultwarden sur votre propre serveur (compte unique, jeton d'admin, 2FA, inscriptions fermées).
- Brancher extensions et applis sur votre instance pour garder tout le confort d'un gestionnaire classique, sans tiers.
- Faire tirer une clé du coffre par un script ou votre IA à l'exécution, au lieu de la laisser en clair dans un fichier.
- Prioriser une migration de secrets : la clé qui ouvre le plus de portes et qui traîne dans l'endroit le plus exposé passe en premier.
Un secret migré et testé vaut mieux que dix migrés à l'aveugle.
Continuez seul
Une fois Vaultwarden en place, la marche suivante du parcours :
Faire travailler votre IA sur le serveur sans clés en clair →Faites-le avec moi
On verrouille votre coffre ensemble, on branche vos scripts et votre IA dessus, et vous repartez avec une infrastructure de secrets propre, testée, et un interlocuteur quand un cas tordu se présente.