Nous comparons les gestionnaires de mots de passe dont le code source est publiquement auditable. L'open source ne garantit pas à lui seul la sécurité, mais il permet des audits indépendants et limite l'enfermement. Voici ceux que nous avons testés.
1Gestionnaire de mots de passe open source avec offre gratuite généreuse et option auto-hébergée.
2Gestionnaire de mots de passe gratuit et payant Proton, alias hide-my-email et chiffrement de bout en bout.
3Gestionnaire de mots de passe local gratuit et open source. Pas de cloud, pas de compte. Vous gardez le fichier base.
Un gestionnaire de mots de passe open source est une application dont le code source est publiquement disponible : n’importe qui peut le lire, le faire auditer et, souvent, le modifier. Contrairement aux logiciels propriétaires comme 1Password ou LastPass, où le code reste secret, les projets open source publient leur code sur des plateformes comme GitHub. Cette transparence ne rend pas le produit plus sûr à elle seule, mais elle permet aux chercheurs, aux universités et aux auditeurs indépendants de vérifier que le logiciel fait bien ce qu’il annonce : notamment comment il chiffre vos données, comment il les synchronise et s’il envoie des informations à des tiers.
Les trois gestionnaires open source que nous recommandons et avons testés en profondeur sont Bitwarden, Proton Pass et KeePass. Bitwarden et Proton Pass sont basés sur le cloud : votre coffre chiffré est stocké sur leurs serveurs (ou les vôtres, pour Bitwarden) et se synchronise sur vos appareils. KeePass est différent : il est uniquement local. Pas de compte, pas de cloud, pas d’abonnement. Vous gardez un seul fichier chiffré (souvent en .kdbx) et vous le synchronisez vous-même via Dropbox, un NAS, une clé USB ou rien du tout. Chaque modèle a des compromis ; nous expliquons ci-dessous à qui convient lequel.
Quand vous confiez vos mots de passe à un logiciel, vous vous fiez à deux choses : que le chiffrement est correctement implémenté, et que l’éditeur ne fait rien de nuisible avec vos données (volontairement ou à cause d’un bug). Avec un logiciel propriétaire, vous n’avez que la parole du fournisseur et, s’il en a commandé un, le résumé d’un audit. Vous ne pouvez pas voir vous-même comment le mot de passe maître est dérivé, comment le coffre est chiffré, ou si de la télémétrie est envoyée.
Avec un gestionnaire open source, n’importe qui peut inspecter le code. Des cabinets comme Cure53 et Trail of Bits ont audité Bitwarden et Proton Pass ; leurs rapports sont publics. Les chercheurs et les utilisateurs peuvent vérifier que le chiffrement (AES-256, XChaCha20, etc.) est bien appliqué, que l’architecture à connaissance nulle est réelle, et qu’il n’y a pas de backdoor ou d’appels réseau inattendus. L’open source rend aussi plus difficile les changements discrets : les modifications importantes sont visibles dans le dépôt. Cela ne signifie pas que chaque utilisateur lira le code, mais la possibilité crée une responsabilisation et a déjà permis de trouver et corriger des vulnérabilités.
Nous avons quitté LastPass après leur fuite de 2022. Une des raisons pour lesquelles nous recommandons aujourd’hui Bitwarden et Proton Pass aux utilisateurs soucieux de transparence est que leur code peut être audité. KeePass est open source depuis des années et n’a aucun serveur : donc pas de cible centrale pour les attaquants. Pour les utilisateurs soucieux de sécurité, les développeurs et les organisations qui doivent justifier leurs outils, les gestionnaires open source offrent un niveau de vérifiabilité que les logiciels propriétaires ne peuvent pas offrir.
Bitwarden est le gestionnaire open source le plus établi que nous recommandons. Lancé en 2016, il propose un gratuit généreux : mots de passe illimités, appareils illimités, générateur, extensions navigateur et authentification à deux facteurs de base. Vous pouvez l’utiliser des années sans payer. Le Premium coûte environ 1,52 €/mois (facturé annuellement) et ajoute l’authentificateur intégré (TOTP), 1 Go de pièces jointes, les rapports de santé du coffre, l’accès d’urgence et le bloqueur de phishing. Bitwarden est écrit en C# et TypeScript ; le code est sur GitHub et a été audité à plusieurs reprises.
Un atout majeur de Bitwarden est l’auto-hébergement. Vous pouvez faire tourner le serveur officiel ou Vaultwarden (implémentation légère compatible avec les clients Bitwarden) sur votre propre infrastructure. Si vous voulez le contrôle total de vos données et avez des bases en administration système, c’est une option solide. Bitwarden propose aussi des forfaits famille et entreprise (Families, Teams, Enterprise) avec partage, politiques et SSO. Pour les développeurs, il y a une CLI et une API. Nous utilisons Bitwarden pour un coffre secondaire et l’avons testé sur Windows, macOS, Android, iOS, Chrome et Firefox. L’interface est fonctionnelle et dense ; moins soignée que 1Password mais plus flexible et abordable.
Proton Pass est le gestionnaire de mots de passe de Proton, la société derrière Proton Mail et Proton VPN. Lancé en 2023, il est plus récent que Bitwarden mais bénéficie de l’accent de Proton sur la confidentialité et le chiffrement de bout en bout. Le gratuit est généreux : mots de passe et appareils illimités, et 10 alias hide-my-email (adresses masquées qui redirigent vers votre boîte). Pass Plus, à environ 2,99 €/mois (facturé annuellement), ajoute des alias illimités, l’authentification à deux facteurs intégrée (TOTP), la surveillance du dark web, le partage sécurisé et l’accès d’urgence.
Proton Pass est open source et a été audité. Il utilise la même architecture zero-access que Proton Mail : votre coffre est chiffré sur votre appareil avant d’être envoyé aux serveurs Proton, qui ne peuvent pas le lire. Si vous utilisez déjà Proton Mail ou Proton VPN, avoir un seul compte pour l’email et les mots de passe est pratique. L’interface est claire et moderne. Les passkeys sont supportés. Il n’y a pas d’option d’auto-hébergement :vous utilisez l’infrastructure Proton ;mais pour les utilisateurs qui veulent un gestionnaire orienté confidentialité, open source, avec hide-my-email intégré, Proton Pass est un excellent choix. Nous l’avons testé sur Windows, Android, Chrome et Firefox ; l’import et le remplissage auto ont bien fonctionné.
KeePass est le gestionnaire local historique. Lancé en 2003, il est gratuit, open source, sans compte, sans cloud et sans abonnement. Vous créez un fichier base (souvent .kdbx), vous le protégez avec un mot de passe maître et éventuellement un fichier clé, et ce fichier vous appartient. Vous pouvez le garder sur un seul appareil ou le synchroniser vous-même via Dropbox, Nextcloud, Syncthing, un NAS ou une clé USB. Aucune société ne détient vos données ; il n’y a pas de serveur à pirater.
KeePass supporte AES-256 et ChaCha20. L’application officielle est pour Windows ; sur les autres plateformes vous utilisez des ports communautaires comme KeePassXC (Windows, Mac, Linux), KeePass2Android (Android), Strongbox ou KeePassium (iOS). Ces variantes ajoutent l’intégration navigateur, le TOTP et une interface plus claire. En contrepartie, vous gérez la synchronisation et les mises à jour. Il n’y a pas de forfait famille ou entreprise intégré ; partager signifie partager le fichier ou utiliser une méthode tierce. KeePass est idéal pour les utilisateurs techniques, les maximalistes de la confidentialité et ceux qui veulent zéro dépendance à un éditeur. Nous l’utilisons pour un coffre entièrement hors ligne et avons testé KeePassXC et KeePass2Android.
Nous avons utilisé chaque gestionnaire comme coffre principal ou secondaire pendant au moins deux semaines. Nous avons importé de vraies bases (de 80 à 200 entrées) depuis CSV ou depuis d’autres gestionnaires et vérifié que les URL, identifiants et mots de passe étaient correctement mappés. Nous avons testé le remplissage automatique sur un mélange de sites : banques, Google, GitHub, outils SaaS, et sites avec formulaires de connexion non standard. Nous avons essayé les applications mobiles sur Android et iOS, y compris le cadre Autofill et les options d’accessibilité. Nous avons activé l’authentification à deux facteurs (YubiKey quand c’est supporté) et vérifié les flux de récupération.
Pour Bitwarden nous avons fait tourner une instance Vaultwarden auto-hébergée et confirmé que les clients officiels se connectent et se synchronisent sans problème. Pour Proton Pass nous avons créé des alias hide-my-email et vérifié que les e-mails étaient bien redirigés. Pour KeePass nous avons utilisé KeePassXC sous Windows et KeePass2Android sous Android, en synchronisant le fichier .kdbx via un dossier cloud. Notre classement et nos recommandations reposent sur la sécurité (chiffrement, audits, zero-knowledge), l’usage au quotidien, les fonctionnalités utiles (passkeys, alertes de fuite, partage, auto-hébergement) et le rapport qualité-prix.
Les trois gestionnaires que nous recommandons utilisent un chiffrement fort et un modèle à connaissance nulle (ou local uniquement). Bitwarden utilise AES-256-CBC avec HMAC ; le code a été audité par Cure53 et d’autres, et les rapports sont publics. Proton Pass utilise le chiffrement de bout en bout et a été audité ; Proton publie des rapports de transparence et est basé en Suisse. KeePass n’envoie aucune donnée nulle part ; la base est chiffrée sur votre machine en AES-256 ou ChaCha20, et le projet a été audité au fil des années.
L’open source ne garantit pas qu’un produit est sûr : des bugs et des mauvaises configurations peuvent exister dans n’importe quel code. Mais cela permet à la communauté et aux auditeurs professionnels de les trouver et de les corriger. Nous recommandons d’utiliser un mot de passe maître fort et unique, d’activer l’authentification à deux facteurs quand c’est possible (Bitwarden et Proton Pass supportent les clés matérielles), et de garder vos logiciels à jour. Pour KeePass, utilisez un fichier clé comme second facteur et gardez-le uniquement sur les appareils que vous contrôlez.
Bitwarden est le seul des trois qui permet d’auto-héberger un serveur de synchronisation complet. Vous pouvez faire tourner le serveur officiel Bitwarden (plus gourmand) ou Vaultwarden (léger, compatible avec les clients Bitwarden) sur votre propre VPS ou matériel. Toutes vos données de coffre restent alors sur une infrastructure que vous contrôlez. C’est utile pour les organisations qui doivent respecter des contraintes de résidence ou de sécurité des données, ou pour les particuliers qui ne veulent pas dépendre d’un cloud tiers. En contrepartie, vous êtes responsable des sauvegardes, des mises à jour et de la disponibilité.
Proton Pass et KeePass ne proposent pas d’auto-hébergement de la couche de sync. Proton Pass utilise les serveurs Proton ; vos données sont chiffrées avant de quitter votre appareil, mais vous ne pouvez pas faire tourner le backend vous-même. KeePass n’a pas de backend : vous synchronisez le fichier .kdbx vous-même (par ex. via Nextcloud, Dropbox ou Syncthing). Donc le choix est : sync cloud gérée par l’éditeur (Proton), sync cloud ou auto-hébergée (Bitwarden), ou local uniquement avec sync manuelle (KeePass). Chacun a sa place selon le niveau de contrôle et de commodité que vous voulez.
Les gestionnaires propriétaires comme 1Password et Dashlane peuvent être excellents. Ils ont souvent des interfaces plus soignées, plus d’accompagnement pour les utilisateurs non techniques, et des fonctions comme le mode voyage (1Password) ou le VPN intégré (Dashlane). Ils commandent des audits et en publient des résumés. Ce que vous n’avez pas, c’est la possibilité de vérifier le code vous-même ou de faire tourner le serveur vous-même (sauf dans l’offre enterprise de 1Password). Pour beaucoup d’utilisateurs, ce compromis est acceptable.
Les gestionnaires open source s’adressent à ceux qui veulent la transparence, l’option d’auto-hébergement (Bitwarden), ou un produit sans compte ni cloud (KeePass). En contrepartie, l’interface peut être moins soignée (Bitwarden), l’écosystème plus petit (Proton Pass), ou la mise en place et la responsabilité plus grandes (KeePass). Nous recommandons les deux types selon le cas d’usage. Si vous privilégiez la vérifiabilité, le coût ou le contrôle, les options open source que nous listons ici sont celles que nous utilisons et recommandons.
Les passkeys sont le remplacement FIDO2 des mots de passe : vous vous connectez avec votre visage, votre empreinte ou le code de l’appareil, et la clé cryptographique reste sur l’appareil. Le phishing devient beaucoup plus difficile car il n’y a pas de mot de passe à voler. Bitwarden et Proton Pass permettent tous deux de stocker et de remplir les passkeys ; KeePass peut les stocker dans la base, mais l’expérience est moins intégrée que dans les gestionnaires cloud. À mesure que les sites adoptent les passkeys, votre gestionnaire sera de plus en plus l’endroit pour les mots de passe et les passkeys. Les trois options open source que nous recommandons vont dans ce sens.
Choisissez Bitwarden si vous voulez le meilleur gratuit (appareils illimités, sans limite dans le temps), l’option d’auto-hébergement ou l’écosystème open source le plus mûr (CLI, API, forfaits famille et entreprise). Choisissez Proton Pass si vous voulez le hide-my-email intégré, si vous utilisez déjà Proton Mail ou Proton VPN, ou si vous préférez une interface plus claire et récente et la juridiction suisse. Choisissez KeePass si vous voulez aucun compte et aucun cloud, le contrôle total de votre fichier base, et que vous acceptez de gérer la sync et les plugins optionnels (KeePassXC, KeePass2Android) vous-même.
Vous pouvez aussi en utiliser plusieurs : par exemple Bitwarden ou Proton Pass au quotidien et KeePass pour un coffre entièrement hors ligne séparé. Nous ne recommandons pas de mélanger les mêmes identifiants dans plusieurs gestionnaires sans raison claire ; choisissez-en un comme principal et n’utilisez les autres que pour des cas précis (voyage, sauvegarde) si besoin.
Les gestionnaires open source vous offrent la transparence et, pour Bitwarden, l’option d’auto-hébergement ou un gratuit généreux. Bitwarden, Proton Pass et KeePass sont les trois que nous recommandons et avons testés. Bitwarden convient au plus grand nombre : gratuit sur appareils illimités, ou Premium peu cher, avec option d’auto-hébergement. Proton Pass convient si vous voulez la confidentialité et le hide-my-email au même endroit. KeePass convient si vous voulez zéro cloud et zéro dépendance à un éditeur. Choisissez-en un, importez vos mots de passe, activez la 2FA où c’est possible, et vous serez bien protégé. N’importe lequel de ces trois vaut bien mieux que la réutilisation de mots de passe ou un tableur.
