Meilleur VPS pour Vaultwarden en 2026

Vaultwarden est un serveur Bitwarden auto-hébergé et léger. Stockez tous vos mots de passe sur votre propre VPS — pas de frais mensuels, propriété totale des données, compatible avec toutes les applications Bitwarden.

Pourquoi Auto-Héberger Vaultwarden ?

Facteur	Bitwarden Cloud	Vaultwarden VPS
Coût	10$+/mois (premium)	~5$/mois (VPS uniquement)
Localisation des données	Leurs serveurs	Votre serveur
Fonctionnalités premium	Payantes	Gratuites
Personnalisation	Limitée	Complète
Dépendance	Bitwarden Inc	Vous

Vaultwarden inclut toutes les fonctionnalités premium de Bitwarden (TOTP, pièces jointes, organisations) gratuitement.

Configuration Requise

Vaultwarden est incroyablement léger :

Minimum :

• 1 vCPU
• 512 Mo de RAM
• 5 Go de stockage

Recommandé :

• 1 vCPU
• 1 Go de RAM
• 10 Go de stockage

Pour les Organisations (10+ utilisateurs) :

• 2 vCPU
• 2 Go de RAM
• 20 Go de stockage

C’est l’une des applications auto-hébergées les plus légères — elle fonctionne sans problème aux côtés d’autres services même sur un VPS pas cher.

Meilleur VPS pour Vaultwarden

1. Hetzner CX11 (Meilleur Rapport Qualité-Prix)

3,79€/mois | 1 vCPU, 2 Go RAM, 20 Go NVMe

Bien plus que nécessaire. 2 Go de RAM laissent de la place pour d’autres services. Centres de données allemands pour la conformité UE.

2. Hostinger KVM1 (Meilleur Budget)

4,99$/mois | 1 vCPU, 4 Go RAM, 50 Go NVMe

4 Go de RAM, c’est excessif pour Vaultwarden seul, mais parfait si vous ajoutez d’autres services plus tard.

3. Oracle Cloud Free (Meilleur Gratuit)

0$/mois | 1 vCPU, 1 Go RAM, 50 Go

Oui, complètement gratuit. Le tier Always Free d’Oracle fait tourner Vaultwarden parfaitement.

4. Vultr (Meilleurs Emplacements)

6$/mois | 1 vCPU, 1 Go RAM, 25 Go

32 emplacements dans le monde. Placez vos mots de passe près de chez vous.

Guide d’Installation Complet

Étape 1 : Créer votre VPS

En utilisant Hetzner comme exemple :

1. Inscrivez-vous sur Hetzner Cloud
2. Créer un serveur → Ubuntu 22.04 → CX11
3. Ajoutez une clé SSH
4. Notez l’adresse IP

Étape 2 : Configuration DNS

Pointez votre domaine :

A    vault.votredomaine.com → votre-ip-serveur

Étape 3 : Configuration Initiale du Serveur

ssh root@votre-ip-serveur

# Mettre à jour le système
apt update && apt upgrade -y

# Installer Docker
curl -fsSL https://get.docker.com | sh

# Créer un utilisateur pour Vaultwarden
adduser vaultwarden
usermod -aG docker vaultwarden

# Configurer le pare-feu
ufw allow OpenSSH
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable

Étape 4 : Déployer Vaultwarden

su - vaultwarden
mkdir vaultwarden && cd vaultwarden

Créez un docker-compose.yml :

version: '3.8'

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    environment:
      - DOMAIN=https://vault.votredomaine.com
      - SIGNUPS_ALLOWED=false
      - ADMIN_TOKEN=votre-token-admin-securise
      - SMTP_HOST=smtp.gmail.com
      - SMTP_FROM=vous@gmail.com
      - SMTP_PORT=587
      - SMTP_SECURITY=starttls
      - SMTP_USERNAME=vous@gmail.com
      - SMTP_PASSWORD=votre-mot-de-passe-app
    volumes:
      - ./data:/data
    ports:
      - 8080:80

  caddy:
    image: caddy:alpine
    container_name: caddy
    restart: unless-stopped
    ports:
      - 80:80
      - 443:443
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - caddy_data:/data
      - caddy_config:/config

volumes:
  caddy_data:
  caddy_config:

Créez le Caddyfile :

vault.votredomaine.com {
    reverse_proxy vaultwarden:80

    encode gzip

    header {
        Strict-Transport-Security "max-age=31536000; includeSubDomains"
        X-Content-Type-Options "nosniff"
        X-Frame-Options "DENY"
    }
}

Étape 5 : Générer un Token Admin Sécurisé

# Générer un token aléatoire
openssl rand -base64 48
# Exemple de sortie : K7a8x9...longue-chaine...

# Ou utiliser un hash argon2 pour plus de sécurité
echo -n "votre-mot-de-passe-admin" | argon2 "$(openssl rand -base64 32)" -e -id -k 65540 -t 3 -p 4

Remplacez votre-token-admin-securise dans docker-compose.yml par la sortie.

Étape 6 : Lancement

docker compose up -d

Attendez 30 secondes pour le provisionnement SSL.

Étape 7 : Créer votre Compte

1. Ouvrez https://vault.votredomaine.com
2. Cliquez sur « Créer un compte »
3. Inscrivez-vous avec votre email et mot de passe principal

Important : Après avoir créé votre compte, désactivez les inscriptions :

SIGNUPS_ALLOWED=false

Puis : docker compose up -d

Étape 8 : Accéder au Panneau d’Administration

Rendez-vous sur : https://vault.votredomaine.com/admin

Entrez votre token admin. Ici vous pouvez :

• Voir les utilisateurs
• Gérer les organisations
• Configurer les paramètres
• Voir les diagnostics

Connecter les Applications Bitwarden

Vaultwarden fonctionne avec tous les clients officiels Bitwarden :

Extension Navigateur

1. Installez l’extension Bitwarden
2. Cliquez sur paramètres (icône engrenage)
3. Définissez « URL du serveur » sur https://vault.votredomaine.com
4. Connectez-vous

Application Mobile

1. Installez Bitwarden depuis l’App Store/Play Store
2. Appuyez sur paramètres avant de vous connecter
3. Entrez l’URL auto-hébergée
4. Connectez-vous

Application Bureau

1. Téléchargez depuis bitwarden.com
2. Paramètres → Environnement auto-hébergé
3. Entrez votre URL
4. Connectez-vous

Renforcement de la Sécurité

1. Désactiver l’Inscription

Après avoir créé votre compte :

SIGNUPS_ALLOWED=false

Ou utilisez les invitations :

INVITATIONS_ALLOWED=true
SIGNUPS_ALLOWED=false

2. Désactiver la Page Admin (Après Configuration)

Supprimez ou commentez ADMIN_TOKEN une fois configuré :

# ADMIN_TOKEN=...

3. Activer la 2FA

Dans le coffre web Vaultwarden :

1. Paramètres → Connexion en deux étapes
2. Activez l’authentificateur TOTP
3. Sauvegardez les codes de récupération en lieu sûr (pas dans Vaultwarden !)

4. Intégration Fail2Ban

Protection contre la force brute :

# Installer fail2ban
apt install fail2ban

# Créer le filtre
cat > /etc/fail2ban/filter.d/vaultwarden.conf << 'EOF'
[Definition]
failregex = ^.*Username or password is incorrect\. Try again\. IP: <HOST>\..*$
ignoreregex =
EOF

# Créer la prison
cat > /etc/fail2ban/jail.d/vaultwarden.local << 'EOF'
[vaultwarden]
enabled = true
port = 80,443
filter = vaultwarden
logpath = /home/vaultwarden/vaultwarden/data/vaultwarden.log
maxretry = 5
bantime = 1h
findtime = 15m
EOF

systemctl restart fail2ban

5. Utiliser Tailscale (Optionnel)

Pour une sécurité maximale, accédez uniquement via Tailscale :

# Installer Tailscale
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

# Fermer les ports publics
ufw deny 80/tcp
ufw deny 443/tcp

Accédez via http://ip-tailscale-vps:8080 (pas d’exposition publique).

Stratégie de Sauvegarde

Les données de mots de passe sont critiques. Sauvegardez religieusement.

Sauvegardes Automatisées

Créez backup.sh :

#!/bin/bash
BACKUP_DIR="/home/vaultwarden/backups"
DATE=$(date +%Y%m%d_%H%M%S)

mkdir -p $BACKUP_DIR

# Arrêter Vaultwarden brièvement pour une sauvegarde cohérente
docker compose -f /home/vaultwarden/vaultwarden/docker-compose.yml stop vaultwarden

# Sauvegarder le répertoire de données
tar czf $BACKUP_DIR/vaultwarden_$DATE.tar.gz \
  /home/vaultwarden/vaultwarden/data

# Redémarrer
docker compose -f /home/vaultwarden/vaultwarden/docker-compose.yml start vaultwarden

# Garder uniquement les 30 dernières sauvegardes
ls -t $BACKUP_DIR/vaultwarden_*.tar.gz | tail -n +31 | xargs -r rm

# Optionnel : Télécharger vers un stockage distant
# rclone copy $BACKUP_DIR/vaultwarden_$DATE.tar.gz remote:vaultwarden-backup/

Planifiez avec cron :

crontab -e
# Ajoutez :
0 3 * * * /home/vaultwarden/backup.sh

Export Manuel

Dans le coffre web :

1. Outils → Exporter le coffre
2. Choisissez le format (JSON recommandé)
3. Stockez en toute sécurité hors ligne

Important : Les exports ne sont pas chiffrés ! Stockez dans un emplacement chiffré.

Configuration Email

La réinitialisation du mot de passe nécessite un email. Options :

Gmail

SMTP_HOST=smtp.gmail.com
SMTP_FROM=vous@gmail.com
SMTP_PORT=587
SMTP_SECURITY=starttls
SMTP_USERNAME=vous@gmail.com
SMTP_PASSWORD=mot-de-passe-app  # Pas votre mot de passe habituel !

Créez un mot de passe d’application sur : myaccount.google.com/apppasswords

Resend

SMTP_HOST=smtp.resend.com
SMTP_FROM=noreply@votredomaine.com
SMTP_PORT=587
SMTP_SECURITY=starttls
SMTP_USERNAME=resend
SMTP_PASSWORD=re_xxxxx

Mailgun

SMTP_HOST=smtp.mailgun.org
SMTP_FROM=noreply@votredomaine.com
SMTP_PORT=587
SMTP_SECURITY=starttls
SMTP_USERNAME=postmaster@votredomaine.com
SMTP_PASSWORD=votre-mot-de-passe-mailgun

Utilisation des Ressources

Empreinte typique de Vaultwarden :

Métrique	Valeur
RAM	30-80 Mo
CPU	<1% au repos
Disque	~100 Mo (les données croissent lentement)
Bande passante	Minimale

Vous pouvez faire tourner de nombreux autres services aux côtés de Vaultwarden sur le même VPS.

Mise à Jour de Vaultwarden

Restez en sécurité avec des mises à jour régulières :

cd /home/vaultwarden/vaultwarden

# Récupérer la dernière image
docker compose pull

# Redémarrer avec la nouvelle image
docker compose up -d

# Nettoyer les anciennes images
docker image prune -f

Ou utilisez Watchtower pour les mises à jour automatiques :

services:
  watchtower:
    image: containrrr/watchtower
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    command: --cleanup --schedule "0 0 4 * * *"

Mises à jour quotidiennes à 4h du matin.

Organisations et Partage

Vaultwarden prend en charge les organisations Bitwarden :

1. Panneau admin → Organisations → Créer
2. Invitez les membres de la famille/équipe
3. Créez des collections pour organiser les mots de passe partagés

Fonctionnalités gratuites (contrairement à Bitwarden Cloud) :

• Organisations illimitées
• Collections illimitées
• Partage illimité
• 2FA pour les organisations

FAQ

Vaultwarden est-il sûr ?

Oui. C’est un projet bien maintenu et audité. Vos données sont chiffrées avec votre mot de passe principal avant le stockage.

Puis-je migrer depuis Bitwarden Cloud ?

Oui. Exportez depuis Bitwarden (format JSON), importez dans Vaultwarden.

Que se passe-t-il si mon VPS tombe en panne ?

Vos applications Bitwarden mettent en cache le coffre localement. Vous ne pouvez pas synchroniser, mais les mots de passe fonctionnent hors ligne. Gardez des sauvegardes !

À quelle fréquence dois-je sauvegarder ?

Au minimum quotidiennement. Tâche cron recommandée.

Vaultwarden vs Bitwarden auto-hébergé ?

Vaultwarden est plus léger (50 Mo vs 2 Go+) et inclut les fonctionnalités premium gratuitement. Bitwarden officiel est plus lourd mais entièrement supporté.

Configuration Recommandée

Cas d’Usage	VPS	Coût Mensuel
Personnel	Hetzner CX11	3,79€
Famille	Hostinger KVM1	4,99$
Petite Équipe	Hetzner CX21	5,39€

Commencez avec Hetzner CX11 — 3,79€/mois pour une souveraineté complète sur vos mots de passe. Moins cher que Bitwarden premium, et vous possédez les données.