Peut-on installer Vaultwarden sur un Raspberry Pi ?

Oui. Vaultwarden fournit une image Docker légère compatible avec l’auto-hébergement, ce qui convient bien à un Raspberry Pi récent si le stockage, les sauvegardes et HTTPS sont correctement configurés.

Faut-il exposer Vaultwarden sur Internet ?

Ce n’est pas obligatoire. Pour un usage prudent, on peut le garder accessible via VPN comme Tailscale ou WireGuard. Si l’accès public est nécessaire, il faut utiliser HTTPS, un reverse proxy, des mises à jour régulières et l’authentification à deux facteurs.

Vaultwarden remplace-t-il officiellement Bitwarden ?

Vaultwarden est une implémentation communautaire compatible avec les clients Bitwarden, mais elle n’est pas affiliée à Bitwarden. Les demandes de support doivent passer par la communauté Vaultwarden.

Quel Raspberry Pi choisir pour Vaultwarden ?

Un Raspberry Pi 4 ou 5 avec 2 Go de RAM ou plus suffit généralement pour un petit foyer. Le point le plus important est d’utiliser un stockage fiable et sauvegardé plutôt qu’une carte microSD fatiguée.

Vaultwarden sur Raspberry Pi : avis et guide pour héberger vos mots de passe à la maison

Vous utilisez encore un fichier texte, un navigateur mal synchronisé ou le même mot de passe réutilisé partout ? Sur un Raspberry Pi qui tourne déjà à la maison, Vaultwarden permet de créer un gestionnaire de mots de passe auto-hébergé, compatible avec les clients Bitwarden, sans monter une grosse infrastructure.

Les 3 points clés

Usage idéal : coffre de mots de passe familial ou personnel, hébergé sur un Raspberry Pi 4/5.
Point non négociable : HTTPS, sauvegardes et mises à jour régulières, car vous stockez des secrets.
Verdict : excellent projet Raspberry Pi si vous êtes prêt à administrer sérieusement votre serveur.

Verdict rapide

Vaultwarden sur Raspberry Pi est une très bonne idée pour reprendre la main sur ses mots de passe, à condition de ne pas le traiter comme un simple gadget. Le logiciel est léger, se déploie très bien en Docker et fonctionne avec les applications Bitwarden habituelles. En revanche, la responsabilité de la sécurité vous revient : sauvegardes, nom de domaine ou VPN, certificats, surveillance et mises à jour.

C’est quoi Vaultwarden, et pour qui ?

Vaultwarden est une implémentation non officielle de l’API Bitwarden, écrite en Rust et pensée pour l’auto-hébergement. Le projet indique qu’il est adapté aux déploiements où le serveur officiel Bitwarden serait trop lourd. C’est précisément le cas d’un Raspberry Pi utilisé comme mini-serveur domestique.

Il s’adresse surtout aux utilisateurs qui veulent apprendre, héberger leurs propres services et garder un contrôle direct sur leurs données. Si vous cherchez une solution sans maintenance, le service cloud officiel Bitwarden ou un autre gestionnaire hébergé reste plus simple. Si vous avez déjà Docker, un Pi stable et une routine de sauvegarde, Vaultwarden devient très intéressant.

Capture du dépôt GitHub officiel de Vaultwarden.

Prérequis recommandés

Un Raspberry Pi 4 ou Raspberry Pi 5, idéalement avec alimentation officielle.
Raspberry Pi OS Lite 64 bits ou une distribution serveur stable.
Docker et Docker Compose installés.
Un stockage fiable : SSD USB, NVMe sur Pi 5, ou au minimum une microSD de qualité.
Une stratégie d’accès : réseau local + VPN, ou reverse proxy HTTPS si vous exposez le service.
Une sauvegarde automatique du dossier de données Vaultwarden.

Installation avec Docker Compose

L’installation recommandée par le projet passe par les images conteneur publiées sur Docker Hub, GHCR ou Quay. Sur Raspberry Pi, Docker Compose simplifie la maintenance : vous gardez la configuration dans un fichier et vous mettez à jour l’image quand c’est nécessaire.

mkdir -p ~/vaultwarden/data
cd ~/vaultwarden
nano compose.yaml

Exemple minimal à adapter :

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    volumes:
      - ./data:/data
    environment:
      DOMAIN: "https://vault.example.com"
      SIGNUPS_ALLOWED: "false"
    ports:
      - "127.0.0.1:8000:80"

Le port est volontairement lié à 127.0.0.1 dans cet exemple : l’idée est de placer Vaultwarden derrière un reverse proxy local comme Caddy, Nginx Proxy Manager ou Traefik, plutôt que de l’exposer directement.

docker compose up -d
docker compose logs -f vaultwarden

HTTPS, VPN et sécurité : le vrai sujet

Le dépôt officiel rappelle que le web vault a besoin d’un contexte sécurisé pour les API Web Crypto : en pratique, utilisez HTTPS. Pour un usage familial, la voie la plus prudente consiste souvent à ne pas ouvrir Vaultwarden à tout Internet et à passer par un VPN de type Tailscale, WireGuard ou votre box/routeur.

Si vous choisissez un accès public, prévoyez au minimum un nom de domaine, un reverse proxy HTTPS, des certificats Let’s Encrypt, des mots de passe forts, l’authentification à deux facteurs sur les comptes, et des mises à jour régulières. Désactivez aussi les inscriptions libres après la création des comptes utiles avec SIGNUPS_ALLOWED=false.

Sauvegardes : à faire avant d’y mettre toute votre vie numérique

Le dossier /data contient la base de données, les pièces jointes et les paramètres importants. Il doit être sauvegardé automatiquement, chiffré si possible, et testé en restauration. Une sauvegarde jamais restaurée n’est qu’une hypothèse.

Planifiez une sauvegarde quotidienne du dossier ~/vaultwarden/data.
Conservez une copie hors du Raspberry Pi : NAS, disque externe, stockage chiffré distant.
Documentez la procédure de restauration dans un fichier local.
Avant une grosse mise à jour, faites une sauvegarde manuelle.

Tableau comparatif

Solution	Avantage	Limite	Pour qui ?
Vaultwarden sur Raspberry Pi	Léger, auto-hébergé, compatible clients Bitwarden	Maintenance et sécurité à votre charge	Bidouilleurs, familles, homelab
Bitwarden cloud	Simple, maintenu par l’éditeur	Données hébergées chez un tiers	Utilisateurs qui veulent zéro admin
KeePassXC + fichier synchronisé	Très robuste, local, simple à sauvegarder	Synchronisation moins fluide en multi-appareils	Usage solo ou très prudent
1Password / Dashlane	Expérience premium, support, partage facile	Abonnement et dépendance au service	Familles et pros non techniques

Points forts

Consommation modeste, adaptée à un Raspberry Pi récent.
Déploiement Docker très simple.
Compatibilité avec les clients Bitwarden.
Contrôle local sur les sauvegardes et les accès.
Très bon projet pour apprendre reverse proxy, HTTPS et Docker.

Limites à connaître

Projet non affilié officiellement à Bitwarden : utilisez les canaux de support Vaultwarden.
Un mauvais déploiement peut être dangereux, car il protège vos mots de passe.
La microSD seule n’est pas idéale pour un service critique.
Il faut suivre les mises à jour et lire les notes de version.
Les fonctions avancées peuvent évoluer selon la compatibilité avec l’écosystème Bitwarden.

Alternatives et variantes

Si votre priorité est la simplicité, Bitwarden cloud reste le choix le plus rationnel. Si vous voulez un coffre totalement local, KeePassXC avec Syncthing ou une synchronisation chiffrée peut suffire. Pour un homelab Raspberry Pi déjà équipé de Docker, Vaultwarden se place entre les deux : plus confortable que KeePass en multi-appareils, mais plus exigeant qu’un service hébergé.

Questions fréquentes

Peut-on l’utiliser uniquement en réseau local ?

Oui. C’est même une bonne option si vous synchronisez vos appareils uniquement à la maison ou via VPN. Vous réduisez fortement l’exposition publique.

Un Raspberry Pi Zero suffit-il ?

Techniquement, certains services légers tournent sur de petites cartes, mais pour un coffre de mots de passe fiable, mieux vaut un Raspberry Pi 4 ou 5 avec un stockage correct.

Faut-il activer les inscriptions ?

Non, pas en continu. Créez les comptes nécessaires, puis désactivez les inscriptions avec SIGNUPS_ALLOWED=false.

Que sauvegarder exactement ?

Sauvegardez le volume monté dans /data, ainsi que votre fichier compose.yaml et la configuration du reverse proxy. Chiffrez les sauvegardes si elles quittent votre réseau.

Sources utiles

Article rédigé par Vincent Vandegans, passionné de Raspberry Pi, Linux, domotique et auto-hébergement.