On stocke tous nos mots de passe quelque part. Dans le navigateur, sur un post-it, dans un fichier texte… ou pire, le même mot de passe partout. J'ai décidé de régler ça proprement avec Vaultwarden : un gestionnaire de mots de passe open source, auto-hébergé, et 100% compatible avec tous les clients Bitwarden officiels. Et le tout expose via Cloudflare — accessible partout, en toute sécurité.

🔐 C'est quoi Vaultwarden ?

Vaultwarden (anciennement bitwarden_rs) est une réécriture légère et non officielle du serveur Bitwarden, codée en Rust. Le serveur officiel Bitwarden demande 4 Go de RAM minimum. Vaultwarden, lui, tourne avec environ 10 Mo. Parfait pour un LXC sur Proxmox.

Et surtout : toutes les fonctionnalités premium de Bitwarden sont débloquées gratuitement.

🔑 TOTP intégré
📎 Pièces jointes chiffrées
👨‍👩‍👧 Organisations / partage
🛡️ WebAuthn / YubiKey
📱 Apps iOS & Android
🧩 Extensions navigateur
Fonctionnalité Bitwarden cloud Vaultwarden
Stockage basique✅ Gratuit✅ Gratuit
TOTP (2FA)💰 Premium✅ Gratuit
Organisations💰 Premium✅ Gratuit
Pièces jointes💰 Premium✅ Gratuit
Vos données chez vous❌ Non✅ Oui
RAM requise~4 Go~10 Mo

⚡ Installation via Proxmox Community Scripts

Pour l'installer, j'ai utilisé les Proxmox VE Community Helper Scripts. Une seule commande dans le shell Proxmox, et le script crée automatiquement un conteneur LXC Debian avec Vaultwarden configuré et prêt à tourner. Ça prend une dizaine de minutes.

🖥️ Shell Proxmox — Node pve
bash -c "$(wget -qLO - https://github.com/community-scripts/ProxmoxVE/raw/main/ct/vaultwarden.sh)"
Le script crée un LXC Debian avec Vaultwarden installé nativement (sans Docker). Il te demande les paramètres de base (ID du container, RAM, stockage) et fait tout le reste tout seul. Sobre et efficace.

☁️ Exposition via Cloudflare Tunnel

Vaultwarden a besoin d'HTTPS pour fonctionner avec les clients mobiles et les extensions. Plutôt que d'ouvrir des ports sur ma box ou de gérer des certificats SSL à la main, j'ai opté pour Cloudflare Tunnel.

Pourquoi Cloudflare Tunnel ?

Aucun port à ouvrir sur le routeur, HTTPS automatique, et mon IP locale n'est jamais exposée. Le tunnel crée une connexion sortante chiffrée entre mon LXC et les serveurs Cloudflare. Vaultwarden est accessible depuis n'importe où via un sous-domaine, sans aucune configuration complexe côté réseau.

⚠️
Cloudflare se positionne entre vous et votre instance. Pour un gestionnaire de mots de passe, la confiance zéro est importante — à prendre en compte selon votre niveau de tolérance au risque. Les données restent chiffrées côté client avant d'atteindre Cloudflare.

💾 Les backups — parce que perdre tous ses mots de passe, ça pique

Vaultwarden stocke tout dans un seul dossier (/opt/vaultwarden/data/). J'ai configuré un backup automatique tous les jours à 21h, avec une rétention de 5 versions.

J-0Aujourd'hui
J-1Hier
J-22 jours
J-33 jours
J-44 jours

Concrètement : si quelque chose part en vrille — mauvaise manip, corruption de fichier, mise à jour ratée — je peux remonter jusqu'à 5 jours en arrière sans perdre une seule entrée. Le backup tourne via Proxmox Backup Server, qui gère la rétention automatiquement.

💡 Conseil : même si vos données sont chiffrées côté client, un backup reste indispensable. Perdre l'accès à son gestionnaire de mots de passe au mauvais moment, c'est une galère que vous ne voudrez jamais vivre.
🔒 L'un des services les plus utiles du homelab

Rapide à installer, ultra léger, sécurisé et exposé proprement via Cloudflare. Si t'as un Proxmox qui tourne, t'as aucune excuse pour ne pas avoir ton propre gestionnaire de mots de passe. Plus besoin de faire confiance à un cloud tiers pour stocker tes accès.

👀 Voir le tuto d'installation →
#vaultwarden #bitwarden #homelab #proxmox #self-hosting #cloudflare #sécurité #passwords