Webaki

Steven TITREN

Adieu Dashlane : Reprenez le contrôle avec VaultWarden
Mis à jour le 14 février 2026

Adieu Dashlane : Reprenez le contrôle avec VaultWarden

Vous payez un abonnement premium pour que vos secrets soient stockés sur le cloud de quelqu'un d'autre ? C'est une erreur stratégique. Dashlane s'alourdit, les prix grimpent, et vous n'avez pas la main. Je vous montre comment monter une instance VaultWarden blindée, migrer vos données et devenir le seul maître de vos clés.

Self-HostingSecOpsMigration

Soyons honnêtes deux minutes. Confier l'intégralité de sa vie numérique à une boîte noire VC-backed comme Dashlane, c'était acceptable quand on était juniors. Aujourd'hui, c'est une dette technique personnelle.

Le problème n'est pas seulement le prix. C'est la souveraineté. Si Dashlane décide de changer ses TOS ou se fait racheter, vous êtes otage. La solution n'est pas de passer chez 1Password, mais de passer à l'auto-hébergement robuste.

Voici pourquoi et comment je suis passé à VaultWarden (le fork Rust de Bitwarden), et pourquoi vous devriez faire pareil ce week-end.

Pourquoi VaultWarden et pas Bitwarden officiel ?

J'aime Bitwarden. Leur code est open-source. Mais l'implémentation serveur officielle est une usine à gaz en C# qui nécessite une base MSSQL. Pour une équipe de 500 personnes ? Oui. Pour votre usage perso ou votre PME ? C'est sortir un tank pour écraser une mouche.

VaultWarden est une réécriture complète de l'API Bitwarden en Rust. C'est léger, ça tourne sur un Raspberry Pi avec 20MB de RAM, et c'est compatible avec tous les clients officiels Bitwarden (Chrome, iOS, Android).

L'efficience du Rust : Là où le serveur officiel demande des gigas de RAM et plusieurs conteneurs, VaultWarden tient dans un unique binaire statique avec une base SQLite (ou Postgres). C'est du "Battle-tested" pour l'auto-hébergement.

L'Architecture cible : Keep It Simple

On ne va pas faire du Kubernetes ici. On veut de la robustesse et de la maintenabilité. Un simple docker-compose suffit, mais il doit être sécurisé.

Architecture de conteneurisation isolée
Architecture de conteneurisation isolée

La Stack :

  1. VaultWarden : Le cœur du système.
  2. Caddy (ou Nginx) : Reverse proxy obligatoire. Pas de HTTPS = Pas de crypto côté client.
  3. Watchtower : Pour les mises à jour (optionnel mais recommandé).

Déploiement : Le Code qui compte

Ne copiez-collez pas n'importe quoi. Voici une configuration durcie. Créez un dossier vaultwarden et votre docker-compose.yml :

version: '3'

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    environment:
      - WEBSOCKET_ENABLED=true  # Pour la synchro en temps réel
      - SIGNUPS_ALLOWED=false   # CRUCIAL : On ferme la porte après la création du compte
      - INVITATIONS_ALLOWED=false
      - ADMIN_TOKEN=votre_token_super_long_genere_avec_openssl
    volumes:
      - ./vw-data:/data
    ports:
      - "127.0.0.1:8080:80" # Jamais exposé directement sur 0.0.0.0

  caddy:
    image: caddy:2
    container_name: caddy
    restart: always
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - caddy_data:/data
      - caddy_config:/config
    environment:
      - ACME_AGREE=true

volumes:
  caddy_data:
  caddy_config:
Danger Zone : La variable SIGNUPS_ALLOWED=false est votre pare-feu le plus important. Lancez le conteneur avec true, créez votre compte, puis passez-le immédiatement à false et redémarrez. Sinon, n'importe qui scannant votre IP peut héberger ses mots de passe chez vous.

La Migration : Sortir du Walled Garden

C'est l'étape la plus pénible. Dashlane ne veut pas que vous partiez. L'export CSV est souvent "sale".

  1. Export Dashlane : Fichier > Exporter > Dashlane CSV (non chiffré). Attention, ce fichier est une bombe nucléaire. Ne le laissez pas traîner sur votre bureau.
  2. Nettoyage : Ouvrez le CSV. Vérifiez les colonnes. VaultWarden est tolérant, mais Dashlane a tendance à mettre des notes bizarres qui cassent l'import.
  3. Import : Dans l'interface web de votre nouveau VaultWarden : Outils > Importer des données > Choisir "Dashlane (csv)".

Une fois l'import validé et vérifié : SHREDDEZ le fichier CSV (shred -u export.csv sous Linux). Le mettre à la corbeille ne suffit pas.

Le point critique : Les Backups

C'est ici que la plupart échouent. En quittant le SaaS, vous devenez votre propre SysAdmin.

Si votre disque lâche, vous perdez tout. TOUT.

Vous devez backuper le dossier ./vw-data. Mais attention, la base SQLite peut être verrouillée si le conteneur tourne. Utilisez une solution comme restic ou un script simple qui :

  1. Arrête le conteneur (downtime de 2 secondes).
  2. Copie le dossier vw-data.
  3. Redémarre le conteneur.
  4. Chiffre et envoie la copie sur un S3 (AWS, Wasabi, Minio).

N'utilisez pas rsync à chaud sur une base SQLite active, c'est la corruption assurée.

Conclusion : Le prix de la liberté

Migrer vers VaultWarden demande un effort initial. Il faut gérer un serveur, sécuriser un endpoint HTTPS et gérer ses backups. C'est du travail.

Mais la tranquillité d'esprit de savoir que vos secrets sont dans un conteneur chiffré, sur votre machine, sans télémétrie et sans risque de hausse tarifaire arbitraire ? Ça n'a pas de prix.

Arrêtez de louer votre sécurité. Possédez-la.

Un projet en tête ?

Discutons de vos besoins techniques et voyons comment je peux vous aider à concrétiser votre projet.

Me contacter

Articles similaires