Bitwarden, c'est le gestionnaire de mots de passe que je recommande à 95 % des gens. Open source, audit indépendant, version gratuite généreuse, chiffrement de bout en bout. Mais l'installer mal — c'est se mettre en danger plus que de tout laisser dans Chrome.
Pourquoi Bitwarden.
- Open source : code public, audité par des experts indépendants. Tu n'as pas à faire confiance "sur parole".
- Vraie version gratuite : mots de passe illimités, appareils illimités, sync cloud — 0 €. La plupart des concurrents (Dashlane, Keeper, NordPass) imposent un abonnement.
- Chiffrement côté client : Bitwarden ne peut pas lire tes mots de passe, même s'ils le voulaient.
Version gratuite suffisante pour 95 % des usages. Premium à 10 $/an pour le rapport de sécurité, l'authenticator intégré et le stockage de fichiers chiffrés.
Création du compte (5 min)
- Va sur vault.bitwarden.com
- Renseigne :
- Email : ton email principal (perso ou Proton)
- Name : ton prénom (ou rien)
- Master password : LE point critique — voir étape suivante
- Coche les conditions → Create Account
Le mot de passe maître (le plus important)
Ton mot de passe maître Bitwarden, c'est la clé qui chiffre tous tes autres mots de passe. Si tu le perds, tu perds TOUT (Bitwarden ne peut pas te le récupérer — c'est ça qui fait que tu peux leur faire confiance).
Règles d'un bon mot de passe maître :
- Long : 20 caractères minimum, idéalement 25-30
- Mémorisable : si tu dois le noter sur ton frigo, t'as perdu
- Imprévisible : pas ta date de naissance, pas le nom de ton chat
- Unique : jamais utilisé ailleurs
La méthode qui marche — la passphrase. Choisis 4 à 6 mots aléatoires sans rapport, séparés par tirets/chiffres :
biscuit-mauve-3-saucisson-volcan
Plus long et mémorisable que P@ssw0rd!2024, et statistiquement bien plus dur à craquer. Une passphrase de 5-6 mots résiste à des milliers d'années de brute force.
Plie la feuille, range-la dans un endroit sûr (coffre, tiroir avec clé). Pas dans un fichier sur ton PC, pas sur ton téléphone. Ce papier, tu le détruiras dans 1-2 mois quand tu seras sûr de le mémoriser.
Activer la 2FA sur Bitwarden
Sans 2FA, même un mot de passe maître bétonné peut être brute-forcé si Bitwarden se fait pirater ou si quelqu'un te le subtilise (phishing, keylogger).
- Connecte-toi à vault.bitwarden.com
- Settings → Security → Two-step Login
- Choisis ta méthode :
- Email (gratuit, simple) — code à 6 chiffres envoyé à chaque login
- Authenticator app (gratuit) — Google Authenticator, Authy. Recommandé.
- YubiKey (Premium) — clé physique, le plus sécurisé
- Active la méthode choisie
- SAUVEGARDE LE CODE DE RÉCUPÉRATION → imprime-le ou note-le à côté du mot de passe maître. Sans ce code, si tu perds ton authenticator, tu ne peux plus récupérer ton compte.
Installer Bitwarden partout
- Extension navigateur (Brave, Chrome, Firefox, Edge) : bitwarden.com/download
- App Desktop Windows/Mac : pour gérer ton vault
- App iOS / Android : pour autofill sur mobile
- Web vault : vault.bitwarden.com
Connecte-toi sur chaque appareil avec email + mot de passe maître. 2FA à chaque nouvel appareil.
Importer tes mots de passe existants
Chrome / Edge / Brave
- Ouvre
chrome://settings/passwords - Clique sur les
⋯à côté de "Mots de passe enregistrés" → Exporter - Tu obtiens un fichier
.csv - Sur le vault Bitwarden web → Tools → Import data → Chrome CSV
- Upload le fichier → import en quelques secondes
- SUPPRIME LE FICHIER CSV immédiatement — il contient tous tes mots de passe en clair
Firefox
about:logins → menu ⋯ → Exporter les identifiants. Format Firefox CSV dans l'import Bitwarden.
Après l'import
- Va dans les paramètres de chaque navigateur
- Désactive "Enregistrer les mots de passe"
- Supprime tous les mots de passe stockés (Bitwarden les gère mieux)
Auditer et muscler tes mots de passe
Avec Bitwarden Premium (10 $/an) → Rapport de Sécurité :
- Liste des mots de passe faibles, réutilisés, dans des fuites connues
- Génération + remplacement guidé
Sans Premium, audit manuel : pour chaque compte important, change le mot de passe pour un mot de passe généré par Bitwarden. Vise 25+ caractères.
Les Passkeys (2024-2026)
Les passkeys remplacent progressivement les mots de passe. Clé cryptographique stockée par Bitwarden. Plus sécurisé, plus rapide, immunisé au phishing.
- Va dans les paramètres de sécurité du site (Google, GitHub, Microsoft, eBay…)
- Active Passkey / Passwordless
- Quand le navigateur demande où stocker la clé → choisis Bitwarden
- Prochaines connexions : plus de mot de passe → juste déverrouillage Bitwarden + 1 clic
Les 5 erreurs qui ruinent tout.
Réutiliser ton mot de passe maître ailleurs → si un autre site se fait pirater, ton MDP maître apparaît dans la fuite → ton vault Bitwarden tombe. Le MDP maître doit être UNIQUE au monde.
Pas de 2FA sur Bitwarden lui-même → seul rempart entre un attaquant qui a ton MDP et toute ta vie numérique. À activer le premier jour.
Stocker le MDP maître dans un fichier sur le PC → un malware peut le lire. Soit tu le mémorises, soit tu le notes sur papier physique.
Garder l'extension navigateur connectée H24 → si quelqu'un accède à ton PC déverrouillé, il a accès à TOUS tes mots de passe. Verrouillage auto après 15 min d'inactivité.
Ne pas sauvegarder le code de récupération 2FA → si ton authenticator est perdu, tu es bloqué dehors. Code de secours = imprimé + rangé en sécurité.
Alternative — NordPass.
Si Bitwarden te paraît trop austère et que tu cherches une interface plus jolie, ou si tu utilises l'écosystème NordSecurity (NordVPN, Nordlocker), NordPass est une alternative crédible.
- Interface moderne et claire (plus user-friendly que Bitwarden)
- Chiffrement XChaCha20
- Partage familial inclus dans le plan Premium
- Health check et data breach scanner intégrés
- Closed-source (vs Bitwarden) — il faut faire confiance à NordSecurity
- Pas de version gratuite illimitée (limité à 1 appareil en free)
Plus simple d'usage que Bitwarden pour les non-techos. Chiffrement XChaCha20, partage familial, scanner de fuites intégré. Plans à partir de ~1,69 €/mois.
En résumé.
Bitwarden bien configuré = la décision n°1 qui transforme ta sécurité numérique. Plus que tout VPN, plus que toute app de chiffrement. Parce que 80 % des piratages de comptes viennent de mots de passe faibles ou réutilisés.
30 minutes de configuration, et tu n'as plus à mémoriser que UN seul mot de passe. Tout le reste est généré, stocké, autofilled.