Bitwarden auto-hébergé : guide d’installation complet Docker + VPS

Bitwarden auto-hébergé : pourquoi et pour qui ?

La bitwarden auto heberge installation sur son propre serveur est l’option ultime pour ceux qui veulent garder un contrôle total sur leurs mots de passe. En tant que développeur freelance, j’ai déployé Bitwarden en auto-hébergement pour moi-même et plusieurs clients depuis 2021. Dans ce guide complet, je vous explique comment installer Bitwarden (et son alternative allégée Vaultwarden) sur un VPS, avec Nginx en reverse proxy et un certificat SSL Let’s Encrypt — étape par étape.

Avant de commencer, posons honnêtement la question : l’auto-hébergement est-il fait pour vous ? C’est une option excellente si vous êtes développeur, administrateur système, ou simplement à l’aise avec la ligne de commande Linux et la gestion d’un serveur. Ce n’est probablement pas le bon choix si vous voulez une solution zéro maintenance — dans ce cas, le cloud officiel Bitwarden à 10 $/an reste très sécurisé. Notre comparatif local vs cloud pour les gestionnaires vous aidera à trancher.

Deux options : Bitwarden officiel ou Vaultwarden ?

Il existe deux implémentations serveur pour un Bitwarden auto-hébergé :

Bitwarden officiel (open source)

• Développé et maintenu par Bitwarden Inc.
• Nécessite plusieurs conteneurs Docker (API, Web, Admin, Notifications, etc.)
• Consommation RAM : 2-4 Go minimum
• Toutes les fonctionnalités incluses (SSO, SCIM, Directory Connector…)
• Support officiel, mises à jour garanties

Vaultwarden (anciennement bitwarden_rs)

• Ré-implémentation communautaire du serveur Bitwarden en Rust
• Un seul binaire / conteneur Docker ultra-léger
• Consommation RAM : 50-100 Mo seulement
• Compatible avec tous les clients officiels Bitwarden (extension, mobile, desktop)
• Fonctionnalités premium (TOTP, attachments) activées gratuitement
• Idéal pour usage personnel ou petite équipe (< 20 utilisateurs)

Mon recommandation : Vaultwarden pour usage personnel ou petite équipe (moins de RAM, installation 10x plus simple), Bitwarden officiel pour les entreprises qui ont besoin de SSO ou de support garanti.

Prérequis

VPS recommandé

• Pour Vaultwarden : VPS 1 vCPU / 1 Go RAM / 20 Go SSD suffit largement (Hetzner CX11 à 3,49 €/mois, OVH VPS Starter à 3,59 €/mois)
• Pour Bitwarden officiel : VPS 2 vCPU / 4 Go RAM / 40 Go SSD minimum (Hetzner CX32 à 14 €/mois)

Logiciels requis

• Ubuntu 22.04 LTS ou Debian 12 (recommandé)
• Docker Engine 24+ et Docker Compose v2
• Un nom de domaine pointant vers l’IP du VPS (ex: vault.votredomaine.com)
• Nginx (pour le reverse proxy)
• Certbot (pour le certificat SSL Let’s Encrypt)

Niveau requis

Connaissance de base de Linux (navigation dans les répertoires, édition de fichiers avec nano/vim, gestion des services systemd). Environ 45 minutes pour l’installation complète.

Installation : Vaultwarden avec Docker (méthode recommandée)

Étape 1 — Préparer le serveur

Connectez-vous en SSH à votre VPS et mettez à jour le système :

apt update && apt upgrade -y
apt install -y curl nginx certbot python3-certbot-nginx ufw

Configurez le pare-feu UFW :

ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable

Étape 2 — Installer Docker

curl -fsSL https://get.docker.com | sh
systemctl enable docker
systemctl start docker

Vérifiez l’installation :

docker --version
docker compose version

Étape 3 — Créer la structure Vaultwarden

mkdir -p /opt/vaultwarden/data
cd /opt/vaultwarden

Créez le fichier docker-compose.yml :

version: '3'
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    volumes:
      - ./data:/data
    environment:
      - DOMAIN=https://vault.votredomaine.com
      - SIGNUPS_ALLOWED=false
      - ADMIN_TOKEN=CHANGER_CE_TOKEN_FORT
      - WEBSOCKET_ENABLED=true
    ports:
      - "127.0.0.1:8080:80"
      - "127.0.0.1:3012:3012"

Important : Remplacez ADMIN_TOKEN par une valeur aléatoire forte. Générez-la avec :

openssl rand -base64 48

Étape 4 — Configurer Nginx comme reverse proxy

Créez le fichier de configuration Nginx :

nano /etc/nginx/sites-available/vaultwarden

Contenu :

server {
    listen 80;
    server_name vault.votredomaine.com;

    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }

    location /notifications/hub {
        proxy_pass http://127.0.0.1:3012;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

Activez la configuration :

ln -s /etc/nginx/sites-available/vaultwarden /etc/nginx/sites-enabled/
nginx -t
systemctl reload nginx

Étape 5 — Obtenir le certificat SSL avec Let’s Encrypt

certbot --nginx -d vault.votredomaine.com

Certbot modifie automatiquement la configuration Nginx pour activer HTTPS et configurer la redirection HTTP → HTTPS. Vérifiez que le renouvellement automatique est actif :

certbot renew --dry-run

Étape 6 — Démarrer Vaultwarden

cd /opt/vaultwarden
docker compose up -d

Vérifiez que le conteneur tourne :

docker ps
docker logs vaultwarden

Accédez à votre instance via https://vault.votredomaine.com. La page de création du premier compte doit s’afficher. Créez votre compte, puis désactivez les inscriptions si vous êtes seul utilisateur (déjà configuré dans le docker-compose avec SIGNUPS_ALLOWED=false). Pour approfondir ce sujet, consultez notre guide sur Les meilleurs gestionnaires de mots de passe open source en.

Configuration de la sauvegarde automatique

C’est l’étape que tout le monde oublie — et qui peut être catastrophique. Vaultwarden stocke toutes ses données dans /opt/vaultwarden/data/, incluant la base de données SQLite db.sqlite3. Pour approfondir ce sujet, consultez notre guide sur Les meilleurs gestionnaires de mots de passe open source en.

Script de sauvegarde quotidienne

nano /opt/backup-vaultwarden.sh

Contenu :

#!/bin/bash
DATE=$(date +%Y%m%d)
BACKUP_DIR="/opt/backups/vaultwarden"
mkdir -p $BACKUP_DIR

# Arrêt propre du conteneur pour sauvegarde cohérente
docker stop vaultwarden

# Copie des données
tar -czf $BACKUP_DIR/vaultwarden-$DATE.tar.gz /opt/vaultwarden/data/

# Redémarrage
docker start vaultwarden

# Suppression des sauvegardes de plus de 30 jours
find $BACKUP_DIR -name "*.tar.gz" -mtime +30 -delete

echo "Sauvegarde Vaultwarden $DATE terminée"

chmod +x /opt/backup-vaultwarden.sh

Ajoutez une tâche cron quotidienne (2h du matin) :

crontab -e
# Ajoutez :
0 2 * * * /opt/backup-vaultwarden.sh >> /var/log/vaultwarden-backup.log 2>&1

Recommandation forte : synchronisez également ces sauvegardes vers un stockage externe (Backblaze B2, Rclone vers un bucket S3, ou simplement copie vers un autre serveur). Une sauvegarde sur le même serveur ne protège pas contre la perte du serveur lui-même.

Mise à jour de Vaultwarden

La mise à jour est simple avec Docker :

cd /opt/vaultwarden
docker compose pull
docker compose up -d

Cela télécharge la dernière image et recrée le conteneur avec la nouvelle version, sans perte de données (qui sont dans le volume ./data). Planifiez les mises à jour mensuellement au minimum.

Avantages et inconvénients vs Bitwarden cloud

Avantages de l’auto-hébergement

• Souveraineté totale : vos données n’ont jamais quitté votre infrastructure
• Prix : 3-5 €/mois de VPS vs 10 $/an pour Bitwarden Premium cloud (avantage limité)
• Fonctionnalités premium gratuites avec Vaultwarden (TOTP, attachments)
• Conformité : idéal pour les entreprises avec des exigences de localisation des données
• Contrôle des mises à jour : vous choisissez quand mettre à jour

Inconvénients

• Responsabilité de la sécurité du serveur : si votre VPS est compromis, vos mots de passe le sont potentiellement aussi (même s’ils restent chiffrés côté client)
• Maintenance : mises à jour, monitoring, sauvegardes — c’est vous qui gérez
• Disponibilité : si votre VPS tombe, votre gestionnaire est inaccessible
• Pas de support officiel pour Vaultwarden

Pour approfondir ce choix architectural, notre article sur la confiance dans les gestionnaires cloud apporte un éclairage complémentaire. Et pour comparer Bitwarden cloud officiel avec l’auto-hébergement en détail, consultez notre guide avis Bitwarden 2025.

Sécurité du serveur : 5 mesures essentielles

1. Désactivez l’authentification par mot de passe SSH — utilisez uniquement les clés SSH
2. Changez le port SSH par défaut (22 → port non standard) pour réduire le bruit des scans automatiques
3. Installez Fail2ban pour bloquer les tentatives de brute force SSH et Nginx
4. Configurez des alertes de monitoring (UptimeRobot gratuit ou Better Uptime) pour être notifié si l’instance tombe
5. Activez le ADMIN_TOKEN complexe et accédez à l’interface d’administration uniquement depuis un réseau de confiance

Conclusion

L’installation de Bitwarden (ou Vaultwarden) en auto-hébergement est un projet à la portée de tout développeur ou administrateur système en une après-midi. Le résultat est une instance privée, sécurisée, compatible avec tous les clients officiels Bitwarden — sans dépendance à un service tiers.

Pour la majorité des utilisateurs individuels, je recommande néanmoins de commencer par le cloud officiel Bitwarden (l’architecture zero-knowledge signifie que même Bitwarden Inc. ne peut pas lire vos données) et de basculer vers l’auto-hébergement uniquement si vous avez un besoin réel de souveraineté des données ou de fonctionnalités premium gratuites.

Vaultwarden vs Bitwarden officiel : tableau de décision

Pour synthétiser le choix entre les deux options :

• Usage personnel (1-3 utilisateurs) → Vaultwarden sur VPS CX11 (3,5 €/mois)
• Petite équipe (5-20 utilisateurs) → Vaultwarden sur VPS CX21 (5 €/mois)
• Entreprise avec SSO/SCIM → Bitwarden officiel sur VPS CX32 (14 €/mois)
• Conformité stricte ou exigences de support → Bitwarden cloud officiel

Monitoring et alertes

Ne laissez pas votre instance Vaultwarden sans surveillance. Configurez :

• UptimeRobot (gratuit) : check HTTP toutes les 5 minutes, alerte email/SMS si l’instance tombe
• Logwatch ou GoAccess pour analyser les logs Nginx et détecter des tentatives d’accès anormales
• Notification de mise à jour Docker : l’outil Watchtower peut automatiser les mises à jour de l’image Vaultwarden — à utiliser avec prudence, toujours après sauvegarde

Pour une comparaison approfondie des versions disponibles de Bitwarden, consultez notre guide Bitwarden self-hosted et notre avis complet Bitwarden 2025.

Questions fréquentes sur Bitwarden auto-hébergé

Puis-je utiliser les applications mobiles officielles Bitwarden avec Vaultwarden ?

Oui, c’est l’un des grands avantages de Vaultwarden. Les applications iOS, Android, les extensions navigateur et les clients desktop officiels sont entièrement compatibles. Lors de la connexion, sélectionnez « Serveur personnalisé » et saisissez l’URL de votre instance. L’expérience est identique au cloud officiel.

Vaultwarden est-il sécurisé pour un usage professionnel ?

Vaultwarden implémente les mêmes protocoles cryptographiques que le serveur officiel (chiffrement côté client AES-256, architecture zero-knowledge). La sécurité dépend surtout de la rigueur de votre configuration serveur : SSL valide, mises à jour régulières, accès SSH sécurisé, sauvegardes externalisées. Pour un usage professionnel avec des exigences de conformité formelles (SOC 2, ISO 27001), le serveur Bitwarden officiel ou Bitwarden cloud restent préférables — les certifications couvrent uniquement le logiciel officiel, pas Vaultwarden.