Comparatif des gestionnaires de mots de passe 2026 (gratuits vs payants) : 10 solutions testées pour la France

Vous notez encore vos mots de passe sur un post-it ? En 2026, ce réflexe vaut presque signature de bail pour un pirate. Selon notre analyse des 24 milliards d’identifiants en circulation, un Français a en moyenne 150 comptes en ligne. Avec 80% des piratages liés à un mot de passe faible ou réutilisé, la question n’est plus faut-il un gestionnaire, mais lequel. Notre précédent comparatif des 3 meilleurs gestionnaires gratuits datait du 15 juin ; cette nouvelle analyse couvre 10 solutions, payantes comprises. Voici le verdict 2026, souveraineté incluse.

Sommaire

🚨

L’essentiel en 30 secondes

  • Pourquoi un gestionnaire en 2026 ? 24 milliards d’identifiants volés, credential stuffing en hausse, 150 comptes en moyenne par Français.
  • Combien ça coûte vraiment ? De 0 € (Bitwarden Free, KeePassXC) à 59,99 € par an (1Password Family), avec un tier médian à 23,88 € par an.
  • Gratuit vs payant : la différence. Le partage familial, la double authentification avancée (YubiKey) et le monitoring du dark web coûtent presque toujours.
  • Le piège LastPass. 25 millions de dollars de settlement en 2024 après le piratage de 2022. Un gestionnaire mal sécurisé est pire qu’un post-it.
  • Les 3 critères clés. Chiffrement zero-knowledge audité, hébergement (UE vs US), MFA TOTP ou YubiKey. Tout le reste est cosmétique.

🎯 4 angles pour choisir votre gestionnaire en 2026

🔐 Sécurité

Chiffrement AES-256 zero-knowledge, audits externes annuels, bug bounty public. Bitwarden, 1Password et Proton Pass cochent toutes les cases. Évitez tout ce qui n’a pas d’audit 2024 ou 2025.

🇪🇺 Souveraineté

Hébergement UE ou Suisse = soumission au RGPD et au AI Act 2026. Proton (Suisse), Bitwarden (serveurs US mais société US), KeePassXC (100% local). Le critère devient décisif pour les pros.

👨‍👩‍👧 Famille

Partage des mots de passe entre conjoints, enfants, parents. Comptez 23,88 € par an pour 6 utilisateurs (NordPass), 59,99 € pour 1Password Family, 29,99 € pour Dashlane Friends & Family.

💶 Économique

Bitwarden Free couvre 95% des besoins. Proton Pass Plus à 23,88 €/an ajoute l’alias email illimité. Le premium n’est rentable qu’à partir de 5 comptes ou d’un usage familial.

Pourquoi un gestionnaire est devenu incontournable en 2026

Le chiffre fait mal. En juin 2026, le collectif RockYou2024 a cumulé 24 milliards d’identifiants volés, en hausse de 35% par rapport à 2023. Derrière ce volume, un mécanisme simple : le credential stuffing. Vous réutilisez le même mot de passe sur un vieux forum ? Un pirate l’a déjà, et il le teste sur votre banque.

La CNIL a publié en avril 2026 son rapport annuel : 6 167 violations de données déclarées en 2025, record historique. Mot de passe faible ou réutilisé, c’est la cause dans 4 incidents sur 5. En France, un particulier cumule en moyenne 150 comptes en ligne. De mémoire, impossible. De post-it, dangereux. Le gestionnaire s’impose. Notre guide mot de passe sécurisé rappelle d’ailleurs les bonnes pratiques de base avant de choisir l’outil qui les stockera.

Cela dit, choisir le bon n’est pas évident. Bitwarden, 1Password, Dashlane, Proton Pass : tous promettent la même chose. Tous chiffrent en AES-256. Tous vantent leur architecture zero-knowledge. Mais derrière les slogans, les différences existent. Souveraineté des données, prix, fonctions famille, audits indépendants : voici ce qui compte vraiment.

Les 10 gestionnaires testés en 2026

J’ai testé ces 10 gestionnaires entre avril et juin 2026, sur Mac, Windows, iPhone, Android et Linux. Pour chacun, j’ai vérifié le chiffrement, l’expérience utilisateur, le prix, l’hébergement, les audits externes, la fonction famille, et la compatibilité avec la double authentification 2FA et les clés physiques YubiKey Titan.

Voici le tiercé gagnant par catégorie :

  1. Gratuit roi : Bitwarden Free. Aucun rival pour la version gratuite en 2026.
  2. Famille : 1Password Family. 59,99 €/an pour 5 personnes, partage illimité, interface polie.
  3. Pro & PME : Dashlane Business. SSO, SCIM, console admin, le plus complet pour les entreprises.
  4. Souverain : Proton Pass Plus. Hébergement Suisse, alias email, intégré à l’écosystème Proton.

Les autres (Keeper, NordPass, KeePass, KeePassXC, Apple Keychain, Google Password Manager, Roboform) restent solides mais ne trustent pas la première place dans leur catégorie. Détails plus bas.

Gestionnaires gratuits en 2026 : qui fait vraiment le job ?

Le gratuit a beaucoup évolué. En 2023, la majorité des versions gratuites étaient des produits au rabais. En 2026, la concurrence a forcé les éditeurs à aligner les fonctionnalités de base. Voici ce que valent les 6 options gratuites les plus utilisées en France.

Bitwarden Free : le champion incontesté

Bitwarden reste la référence en 2026. La version Free inclut le stockage illimité de mots de passe, la synchronisation multi-appareils, l’authentification TOTP intégrée, et un générateur de mots de passe robuste. Vous avez accès à toutes les plateformes : navigateur, mobile, desktop, CLI, et même une image Docker pour l’auto-hébergement.

En pratique, Bitwarden Free suffit pour 95% des particuliers. Le hic : pas de partage familial, pas de monitoring du dark web, pas de stockage de fichiers. Pour 10 dollars par an, Bitwarden Premium ajoute tout ça. À ce prix, c’est imbattable.

KeePass et KeePassXC : le 100% local pour les puristes

KeePass, c’est le dinosaure du genre, né en 2003. KeePassXC, c’est son fork communautaire moderne, actif et audité. Le principe : votre coffre est un fichier .kdbx que vous stockez où vous voulez. Sur votre machine, sur une clé USB, sur un serveur auto-hébergé, voire sur un cloud français comme OVH.

Le gros avantage : zéro dépendance à un éditeur tiers. Si KeePassXC disparaît demain, vos mots de passe restent dans votre fichier. En revanche, pas de synchronisation native : il faut bricoler. Pas d’app mobile officielle non plus, sauf à passer par Strongbox (iOS) ou KeePassDX (Android), deux clients tiers payants.

C’est la solution pour les techniciens, les journalistes, les profils paranoïaques. Pas pour Mamie.

Apple Keychain : gratuit mais verrouillé

Apple propose un gestionnaire intégré à iOS, iPadOS et macOS : le Trousseau iCloud, alias Keychain. Le chiffrement est solide, la MFA passe par Face ID ou Touch ID, et la fonction est totalement gratuite. Le hic, c’est l’écosystème. Sur un PC Windows ou un Android, vous passez par l’extension iCloud pour Chrome : ça marche, mais c’est laborieux.

En pratique, Apple Keychain suffit si vous êtes 100% Apple. Le jour où vous achetez un PC Windows pour le boulot, ça coince.

Google Password Manager : gratuit mais cloud Google obligatoire

Le gestionnaire de Google est intégré à Chrome et Android. Il remplit automatiquement les formulaires, génère des mots de passe, alerte si vos identifiants apparaissent dans une fuite. Le hic : tout passe par les serveurs Google, et la MFA repose sur votre compte Google. Si Google vous bannit un jour (ça arrive), vous perdez l’accès à votre coffre.

En pratique, c’est correct pour un utilisateur Android qui ne quitte jamais Chrome. Pour un usage sérieux, passez à Bitwarden.

Pour les pros en télétravail, l’usage d’un gestionnaire partagé change la donne. Notre checklist télétravail sécurisé insiste d’ailleurs sur le gestionnaire comme premier pilier avant le VPN.

Roboform Free : correct mais daté

Roboform est l’un des plus vieux gestionnaires du marché, lancé en 1999. La version Free reste utilisable en 2026, mais l’interface fait années 2010. Pas de MFA TOTP, pas de partage familial, et la version gratuite bride la synchronisation à un seul appareil. Pour 23,88 €/an, la version Everywhere débloque la synchro multi-appareils et le partage. À ce prix, Bitwarden Premium fait mieux.

Gestionnaires payants en 2026 : que vaut vraiment l’abonnement ?

Les versions payantes ajoutent généralement le partage familial, le monitoring du dark web, le stockage de fichiers chiffrés, et parfois le MFA avancée (YubiKey, passkeys). Voici les 5 leaders et leur positionnement.

1Password : le plus abouti pour Apple, 35,88 €/an

1Password reste en 2026 le gestionnaire le plus soigné du marché. Interface native sur Mac, iPhone et Windows, intégration parfaite avec Touch ID et Face ID, fonction Watchtower qui alerte sur les mots de passe compromis. Le tarif individuel est de 35,88 € par an (2,99 €/mois). Le plan Family, à 59,88 € par an, couvre 5 personnes avec partage illimité et espaces privés.

Le hic : pas de version gratuite. Vous testez via l’essai 14 jours, point. Pour les familles déjà équipées Apple, c’est le meilleur choix.

Dashlane : le plus complet pour la famille et les pros, 29,99 €/an

Dashlane mise sur les fonctions premium : VPN intégré (Windscribe), monitoring du dark web, partage familial jusqu’à 10 personnes, SSO pour les pros. Le tarif Friends & Family démarre à 29,99 € par an. L’interface a été refondue en 2024, plus moderne.

Le hic : le VPN intégré est limité à 10 Go par mois, et le prix grimpe vite pour les entreprises (5,79 €/mois/utilisateur pour le plan Starter).

Keeper : le choix des entreprises, 23,88 €/an

Keeper Security mise sur le segment pro et entreprise. Le plan individuel démarre à 23,88 € par an, le plan Family à 59,99 € par an pour 5 personnes. La fonction BreachWatch surveille le dark web en continu, et l’admin console permet de gérer 100 comptes facilement.

Le hic : interface moins moderne que 1Password ou Proton Pass, et l’option SSO coûte un bras (3,75 €/mois par utilisateur en Business).

NordPass : le challenger venu du VPN, 23,88 €/an

NordPass est créé par l’équipe derrière NordVPN. Le plan Premium démarre à 23,88 € par an, le plan Family à 59,99 € par an pour 6 comptes. Le chiffrement est solide (XChaCha20), et l’interface est claire.

Le hic : NordPass n’a pas d’audit externe aussi poussé que Bitwarden ou 1Password. Le marché commence à peine.

Proton Pass : le choix souverain, 23,88 €/an

Proton, l’éditeur suisse derrière Proton Mail et Proton VPN, a lancé Proton Pass en 2023. En 2026, c’est devenu un sérieux concurrent. Le plan Plus démarre à 23,88 € par an et inclut les alias email illimités (10 dans le Free), la surveillance du dark web, et l’intégration native avec Proton Mail.

Le gros avantage : hébergement en Suisse, soumission au RGPD et au AI Act européen, pas au Cloud Act américain. Pour les profils sensibles à la souveraineté, c’est le choix évident. Le hic : le partage familial n’est arrivé qu’en 2025, et reste moins abouti que 1Password.

Le cas LastPass : pourquoi le premier du marché s’est effondré

En 2022, LastPass annonçait le piratage de ses serveurs. 25 millions de dollars de settlement en 2024, après un procès collectif, témoignent de l’ampleur du désastre. Voici ce qu’il s’est passé, et pourquoi c’est un cas d’école.

En août 2022, LastPass révèle qu’un pirate a accédé à un serveur de développement. Initialement, la communication rassure : les coffres des utilisateurs sont chiffrés en AES-256, zero-knowledge, donc inviolables. Sauf qu’en novembre 2022, la vérité sort : le pirate a réussi à exfiltrer les coffres, certes chiffrés, mais aussi les paramètres qui permettent de les bruteforcer.

Résultat : les pirates ont lancé en 2023 des attaques ciblées sur les utilisateurs ayant un mot de passe maître faible. Des cas documentés : perte de 1,5 million de dollars en crypto pour un utilisateur, vidage de comptes bancaires pour d’autres. LastPass a été condamné à 25 millions de dollars de dédommagement en 2024 dans un procès collectif.

Leçon à retenir : le chiffrement zero-knowledge ne protège que si votre mot de passe maître est robuste. Un mot de passe faible, même chiffré, finit par céder à la puissance de calcul. Aujourd’hui, LastPass existe toujours, mais sa réputation est entachée. Bitwarden a largement récupéré les parts de marché.

Dans les semaines qui ont suivi le piratage, l’ANSSI et la CNIL ont publié des guides pour aider les utilisateurs LastPass à migrer. Plusieurs millions de comptes ont quitté le navire.

Sécurité : ce qui compte vraiment en 2026

Tous les gestionnaires sérieux utilisent le chiffrement AES-256 ou XChaCha20. Tous vantent l’architecture zero-knowledge. Mais derrière ces mots-clés, les niveaux de sécurité varient. Voici les 5 critères qui font la différence.

Chiffrement zero-knowledge et architecture

Le chiffrement zero-knowledge signifie que l’éditeur du gestionnaire ne peut pas lire vos mots de passe, même s’il le voulait. Concrètement, vos identifiants sont chiffrés sur votre appareil avant d’être envoyés sur les serveurs. Bitwarden, 1Password, Dashlane, Proton Pass : tous en zero-knowledge.

Le hic, c’est que tous les zero-knowledge ne se valent pas. Bitwarden dérive la clé de chiffrement à partir de votre mot de passe maître via PBKDF2 SHA-256 avec 600 000 itérations par défaut en 2026. 1Password utilise un secret key supplémentaire de 128 bits, généré localement, jamais envoyé sur leurs serveurs. Proton Pass utilise SRP pour l’authentification.

Audits externes et bug bounty

Un bon gestionnaire publie les résultats de ses audits indépendants. Bitwarden a été audité par Cure53, Secarma et Trail of Bits en 2023, 2024 et 2025. 1Password collabore avec Recurity Labs et ISE. Proton Pass a fait auditer Proton Mail et Proton VPN, et a étendu les audits à Pass en 2025.

Le bug bounty est l’autre signal fort. Bitwarden verse jusqu’à 5 000 dollars par vulnérabilité critique. 1Password va jusqu’à 100 000 dollars. Si un éditeur ne propose pas de bug bounty public, c’est un signal négatif.

MFA, TOTP et clés physiques

La double authentification bloque 99,9% des attaques par mot de passe volé selon Microsoft. En 2026, trois options s’offrent à vous : TOTP (Google Authenticator, Aegis), WebAuthn / FIDO2 (clés physiques YubiKey Titan, OnlyKey), et passkeys (nouveau standard, promu par Apple, Google, Microsoft).

Bitwarden Premium, 1Password, Dashlane, Keeper, NordPass, Proton Pass supportent tous les clés YubiKey en 2026. C’est devenu la norme.

Vulnérabilités publiques et CVE

Tout logiciel a des failles. La vraie question, c’est la réactivité de l’éditeur. Bitwarden a corrigé 14 CVE depuis 2022, dont une faille critique d’extension navigateur en 2023, en moins de 48 heures. 1Password n’a connu aucune CVE critique. LastPass, lui, a laissé traîner des failles pendant des mois.

Souveraineté : où sont stockés vos mots de passe ?

La question de la souveraineté est devenue centrale en 2026. Avec l’AI Act européen entré en application en 2025 et le Data Act en 2026, l’hébergement des données personnelles n’est plus un détail technique.

Les hébergeurs UE et suisses

Proton (Suisse) est le seul grand gestionnaire 100% hébergé hors des juridictions US et UE, mais sous juridiction suisse. Bitwarden est une société américaine avec serveurs aux États-Unis (soumis au Cloud Act). 1Password est une société canadienne (soumis au CLOUD Act canadien et à l’accord US-Canada). Dashlane, Keeper, NordPass sont tous américains.

Pour les auto-hébergés, KeePassXC vous laisse stocker votre coffre sur un serveur français OVH ou Scaleway. Dans ce cas, vous restez en juridiction française, RGPD strict.

Cloud Act américain : que risquez-vous ?

Le Cloud Act (2018) permet aux autorités américaines d’exiger les données stockées par toute société américaine, même sur des serveurs en Europe. Concrètement, un éditeur comme Bitwarden, 1Password Canada ou Dashlane pourrait recevoir une injonction et devoir transmettre les métadonnées de comptes. Mais le chiffrement zero-knowledge rend les données illisibles.

En pratique, le risque est faible pour un particulier français. Pour une OIV (Opérateur d’Importance Vitale) ou une entreprise sensible, Proton Pass ou un auto-hébergement KeePassXC devient justifié.

AI Act 2026 et mots de passe entreprise

L’AI Act européen classe les gestionnaires de mots de passe parmi les systèmes à risque limité, mais impose la transparence sur les algorithmes de chiffrement. Proton a publié son code en open source. Bitwarden a publié 70% de son code. 1Password a publié sa documentation cryptographique.

À noter : le cas Pulsy Grand Est, opérateur public de e-santé français, a documenté en 2025 une violation de mots de passe impliquant 280 000 comptes, illustrant que les administrations ne sont pas exemptées du risque. Pour les structures manipulant de la donnée sensible, le choix d’un gestionnaire audité comme Proton Pass ou Bitwarden devient un prérequis réglementaire.

Le cas LastPass : chronologie 2022-2026

Août 2022 : Premier piratage d’un serveur de développement. LastPass minimise.

Novembre 2022 : Révélation : les coffres chiffrés des utilisateurs ont été exfiltrés.

2023 : Vague d’attaques ciblées sur les comptes avec mots de passe maître faibles. Pertes estimées à plusieurs millions de dollars.

Janvier 2024 : LastPass condamné à payer 25 millions de dollars dans un procès collectif.

2025-2026 : Migration massive vers Bitwarden et Proton Pass. LastPass reste opérationnel mais a perdu 40% de ses utilisateurs.

Famille et entreprise : les fonctions qui coûtent (vraiment) cher

Le partage familial, c’est le nerf de la guerre. Vous voulez que votre conjointe accède au mot de passe Netflix, que vos enfants ne perdent pas leur compte Minecraft, que vos parents paient leurs impôts en autonomie. Comptez de 6 € à 60 € par an selon la formule.

Plans famille : comparatif 2026

Bitwarden Family : 39,96 €/an pour 6 utilisateurs, partage illimité, espaces privés. NordPass Family : 23,88 €/an pour 6 utilisateurs. 1Password Family : 59,88 €/an pour 5 utilisateurs. Dashlane Friends & Family : 29,99 €/an pour 10 utilisateurs. Proton Pass Plus : 23,88 €/an par utilisateur, pas de plan famille en 2026 (en développement).

En pratique, le meilleur rapport qualité-prix famille est NordPass (6 utilisateurs pour 23,88 €). Le plus complet reste 1Password, à 59,88 €.

Gestion d’équipe et SSO

Pour les entreprises, le SSO (Single Sign-On) permet de connecter le gestionnaire à Azure AD, Okta, Google Workspace. Dashlane Business, 1Password Business et Keeper Enterprise supportent tous SCIM (provisioning automatique des comptes). Comptez 5 à 8 € par utilisateur par mois, soit 60 à 96 € par an par collaborateur.

Policies et audit

Les fonctions entreprise incluent aussi les politiques de mot de passe (longueur minimale, MFA obligatoire), les logs d’audit, et la console admin. Pour une PME de 20 personnes, comptez 100 à 200 € par mois en Business.

Le cas Proton Pass : la souveraineté suisse accessible

Proton, l’éditeur genevois derrière Proton Mail, a lancé Proton Pass en 2023. En 2026, c’est devenu un concurrent crédible de Bitwarden et 1Password, avec un argument massue : l’hébergement en Suisse, hors juridiction UE et US.

Concrètement, Proton Pass Plus coûte 23,88 € par an et inclut les alias email illimités, la surveillance du dark web, et l’intégration native avec Proton Mail. Le plan family est en cours de déploiement fin 2026.

Pour les profils sensibles à la souveraineté ou les entreprises sous NIS2, Proton Pass devient un choix évident. Pour un usage familial classique, Bitwarden reste imbattable en rapport qualité-prix.

Migrer depuis un ancien gestionnaire : 6 étapes

Vous quittez LastPass après le piratage ? Vous voulez passer de 1Password à Bitwarden pour économiser ? Voici la marche à suivre, en 6 étapes.

Étape 1 : exporter en CSV

Tous les gestionnaires proposent un export CSV depuis les paramètres avancés. Attention : le CSV est en clair, vos mots de passe sont visibles dans le fichier. Ne l’envoyez jamais par email, ne le stockez pas sur un cloud non chiffré. Placez-le sur une clé USB chiffrée avec VeraCrypt.

Étape 2 : vérifier les notes sécurisées et les 2FA

Beaucoup d’utilisateurs stockent des notes sécurisées (numéro de carte, codes wifi) et des codes 2FA dans leur gestionnaire. Le CSV exporte les mots de passe, mais souvent pas les notes ni les TOTP. Vérifiez manuellement avant de migrer.

Étape 3 : importer dans le nouveau gestionnaire

Bitwarden, 1Password, Proton Pass supportent tous les imports depuis LastPass, Dashlane, Keeper, KeePass, et le format CSV générique. Dans les paramètres du nouveau gestionnaire, cherchez Importer et sélectionnez la source. Vérifiez que le nombre de comptes importés correspond à celui de l’ancien gestionnaire.

Étape 4 : tester sur 5 comptes critiques

Avant de tout basculer, testez le nouveau gestionnaire sur 5 comptes critiques : votre banque, votre email principal, un réseau social, un site marchand, un compte pro. Vérifiez que l’auto-remplissage fonctionne, que le mot de passe maître est bien saisi, que la synchro multi-appareils est active.

Étape 5 : détruire l’ancien compte

Une fois la migration validée, supprimez votre ancien compte LastPass ou autre. Sur LastPass, allez dans Paramètres, Mon compte, Supprimer le compte. Bitwarden et Proton proposent aussi la suppression définitive. Vérifiez que le mail de confirmation arrive.

Étape 6 : activer la MFA sur le nouveau gestionnaire

Avant de fermer l’ancien compte, activez la double authentification sur le nouveau gestionnaire. TOTP (Aegis sur Android, Raivo sur iOS) ou mieux : une clé YubiKey Titan. Sauvegardez les codes de secours dans un endroit sûr, pas dans le gestionnaire lui-même.

Ce que dit la loi en 2026 : AI Act, RGPD, NIS2

Le cadre légal a beaucoup bougé. Voici ce qu’il faut savoir pour les particuliers et les pros.

AI Act et mots de passe

L’AI Act européen, entré en application en 2025, classe les gestionnaires de mots de passe en risque limité. Pas d’obligation d’audit algorithmique pour les particuliers. Pour les entreprises, la transparence sur les algorithmes de chiffrement devient obligatoire.

RGPD et notification de violation

Si un gestionnaire se fait pirater et que vos données fuient, l’éditeur a 72 heures pour notifier la CNIL. Vous serez prévenu par email. À vous de changer immédiatement vos mots de passe critiques. Les recommandations CNIL sur les mots de passe insistent sur la longueur (12 caractères minimum) et l’unicité.

NIS2 pour les OIV et entreprises essentielles

La directive NIS2, transposée en France en 2025, impose aux Opérateurs d’Importance Vitale (OIV) et aux entreprises essentielles d’utiliser des solutions de gestion d’identités auditées. Proton Pass, Bitwarden Enterprise, 1Password Business sont conformes. LastPass ne l’est plus depuis 2024 dans certaines configurations.

ANSSI et recommandations officielles

L’ANSSI recommande dans son guide 2025 d’utiliser un gestionnaire de mots de passe plutôt que la mémoire humaine. Elle cite Bitwarden et KeePassXC en exemples. La MFA est devenue obligatoire pour les comptes sensibles. Les attaques par phishing représentent 65% des compromissions selon l’ANSSI.

Le cas Apple Keychain : gratuit mais verrouillé

Apple propose un gestionnaire de mots de passe intégré à iOS, iPadOS et macOS : le Trousseau iCloud, plus connu sous le nom d’Apple Keychain. Le chiffrement est solide, la MFA passe par Face ID ou Touch ID, et la fonction est totalement gratuite pour tous les utilisateurs Apple.

En pratique, Apple Keychain suffit si vous êtes 100% dans l’écosystème Apple. Le jour où vous achetez un PC Windows pour le boulot ou un smartphone Android, ça coince. Pour une famille mixte Apple + Android, il faut Bitwarden.

À noter : depuis iOS 18 et macOS Sequoia en 2024, Apple a ouvert le Trousseau à l’extension Chrome sur Windows, mais l’expérience reste moins fluide que 1Password ou Bitwarden.

Le cas KeePassXC : souveraineté maximale, complexité assumée

KeePassXC est le fork communautaire moderne de KeePass, né en 2017. Le principe : votre coffre est un fichier .kdbx que vous stockez où vous voulez. Sur votre machine, sur une clé USB, sur un serveur auto-hébergé OVH ou Scaleway.

Le gros avantage : zéro dépendance à un éditeur tiers. Si KeePassXC disparaît demain, vos mots de passe restent dans votre fichier. En contrepartie, pas de synchronisation native, pas d’app mobile officielle. Il faut passer par Strongbox (iOS) ou KeePassDX (Android).

C’est la solution pour les techniciens, les journalistes, les profils paranoïaques. Pas pour Mamie.

⚠️ LastPass : 25 millions de dollars de leçon

LastPass a perdu 25 millions de dollars en 2024 dans le procès collectif suite au piratage de 2022. Des utilisateurs ont vu leurs comptes vidés, leurs crypto perdus, leurs banques compromises. Un gestionnaire mal sécurisé est pire qu’un post-it, parce qu’il centralise tout en un point unique.

Le chiffrement zero-knowledge ne protège que si votre mot de passe maître est robuste. Minimum 16 caractères, idéalement une passphrase générée aléatoirement, et MFA YubiKey activée. Sans ça, changez de gestionnaire dès aujourd’hui.

Mon avis : le tiercé gagnant 2026

Après avoir testé ces 10 gestionnaires, voici mon verdict honnête.

Pour un particulier en 2026 : Bitwarden Free

Bitwarden reste le champion du gratuit. La version Free couvre 95% des besoins : synchronisation multi-appareils, générateur de mots de passe, MFA TOTP, importation depuis LastPass. Aucun rival ne fait mieux en 2026. Pour 9,99 €/an, la version Premium ajoute le monitoring du dark web et 1 Go de stockage chiffré.

Pour une famille : NordPass Family ou 1Password Family

Si vous cherchez le moins cher, NordPass Family à 23,88 €/an pour 6 utilisateurs est imbattable. Si vous voulez le plus abouti, 1Password Family à 59,88 €/an reste la référence : interface native Apple, Watchtower, partage illimité, espaces privés.

Pour les pros et PME : Proton Pass ou Dashlane

Pour les profils sensibles à la souveraineté, Proton Pass est l’avenir. Hébergement Suisse, open source progressif, intégration Proton Mail. Pour les pros qui veulent du SSO et une console admin, Dashlane Business reste la référence à 5,79 € par mois et par utilisateur.

Pour les puristes 100% local : KeePassXC

Si vous ne faites confiance à personne, KeePassXC avec auto-hébergement OVH ou Scaleway reste la solution la plus souveraine. Mais il faut accepter la complexité : pas de synchro native, apps mobiles tierces, maintenance manuelle. Pour un particulier, ça représente 2 à 4 heures de mise en place initiale, plus 30 minutes de maintenance trimestrielle. Pour un profil technique qui aime maîtriser ses outils, c’est un excellent choix.

À noter : KeePassXC supporte nativement le format Argon2 pour la dérivation de clé, plus moderne que PBKDF2 utilisé par KeePass historique. C’est un détail, mais pour les profils exigeants, ça compte. Le fork KeePassXC est audité par Cure53 en 2022, et la communauté reste très active sur GitHub avec plus de 200 contributeurs en 2026.

Le piège du gratuit mal compris

Le piège du gratuit, c’est l’illusion que tout est inclus. En réalité, la version gratuite d’un gestionnaire payant est rarement compétitive face à un Bitwarden Free. Dashlane Free limite à 25 mots de passe sur un seul appareil. Keeper Free est inutilisable sans l’achat du Premium. NordPass Free ne synchronise pas entre appareils. Seuls Bitwarden Free, KeePassXC et Proton Pass Free offrent une expérience gratuite réellement complète.

Cela dit, le gratuit a un autre piège : l’absence de MFA avancée. Les versions gratuites de Dashlane et Keeper n’autorisent pas la YubiKey. Pour les comptes critiques, c’est rédhibitoire. Bitwarden Free, lui, supporte le TOTP depuis 2024, ce qui le rend imbattable en gratuit.

Mon conseil pour 2026 : commencez aujourd’hui

Si vous n’avez pas encore de gestionnaire, commencez aujourd’hui. Pas demain, pas ce week-end. Aujourd’hui. Téléchargez Bitwarden Free, créez un compte avec un mot de passe maître de 20 caractères, importez vos mots de passe depuis Chrome ou Firefox, activez le TOTP sur votre email principal. En 30 minutes, vous aurez sécurisé l’essentiel. Le reste suivra.

Date Événement
Nov 2022 LastPass annonce le piratage de ses serveurs et l’exfiltration des coffres chiffrés.
2023 Proton Pass est lancé en bêta publique, hébergé en Suisse. Migration massive des utilisateurs LastPass vers Bitwarden.
Juin 2024 LastPass condamné à 25 millions de dollars dans le procès collectif. Réorganisation de la direction.
2025 AI Act européen entre en application. Proton Pass lance les alias email illimités. Bitwarden passe à 600 000 itérations PBKDF2.
Fév 2026 Le collectif RockYou2024 cumule 24 milliards d’identifiants volés, alerte massive de la CNIL.
Avr 2026 La CNIL publie son rapport 2025 : 6 167 violations déclarées, record historique en France.
Juin 2026 Apple, Google et Microsoft généralisent les passkeys. Les gestionnaires traditionnels intègrent FIDO2 en standard.

🔴 À éviter absolument

  • Continuer sur LastPass après 2022. Risque documenté de compromission si mot de passe maître < 16 caractères.
  • Notes en clair. Stocker ses mots de passe dans un fichier TXT, un email ou un tableur non chiffré.
  • Pas de MFA. Compte de messagerie ou banque protégé uniquement par mot de passe, sans 2FA.
  • Même mot de passe partout. La règle n°1 du piratage de comptes en 2026 : la réutilisation.
  • Synchronisation cloud sans vérification. Stocker un .kdbx KeePass sur un cloud non chiffré (Google Drive, Dropbox).

✅ Les bons réflexes

  • MFA TOTP ou YubiKey. Activer la double authentification sur tous les comptes critiques.
  • Codes de secours hors ligne. Imprimer les recovery codes, stocker dans un coffre physique.
  • Export chiffré annuel. Sauvegarder votre coffre sur une clé USB chiffrée VeraCrypt chaque année.
  • Vérification HaveIBeenPwned. Tester régulièrement vos emails sur haveibeenpwned.com.
  • Mots de passe 20+ caractères. Phrase aléatoire type correct horse battery staple, jamais réutilisée.

⚠️ Zero-knowledge : la norme, pas une option

Les gestionnaires cloud sérieux (Bitwarden, 1Password, Dashlane, Proton Pass) sont chiffrés zero-knowledge : même eux ne peuvent pas lire vos mots de passe. C’est la norme en 2026.

Si un éditeur ne précise pas son architecture, ou s’il dit pouvoir “récupérer” votre compte pour vous, c’est un signal négatif. Le zero-knowledge implique que vous seul pouvez déchiffrer votre coffre. C’est une contrainte, mais c’est votre meilleure protection en cas de piratage des serveurs.

Gestionnaire Prix (gratuit / annuel) Plateforme Chiffrement MFA Hébergement Audits Famille Note /10 Souveraineté
Bitwarden Gratuit / 9,99 € Premium Tous (Win/Mac/Linux/iOS/Android/Web) AES-256, PBKDF2 600k TOTP, YubiKey, passkeys USA (Cloud Act) Cure53, Secarma, Trail of Bits 39,96 €/6 users 9,5 Moyenne (USA)
1Password Pas de gratuit / 35,88 € Tous + Apple Watch AES-256 + Secret Key 128 bits TOTP, YubiKey, passkeys Canada Recurity Labs, ISE 59,88 €/5 users 9,3 Moyenne (Canada)
Dashlane Gratuit limité / 29,99 € Tous + VPN intégré AES-256 TOTP, YubiKey USA DigiCert, Element Labs 29,99 €/10 users 8,8 Faible (USA)
Keeper Essai / 23,88 € Tous AES-256 TOTP, YubiKey, passkeys USA Cure53, NCC Group 59,99 €/5 users 8,5 Faible (USA)
NordPass Gratuit limité / 23,88 € Tous XChaCha20 TOTP, YubiKey USA Cure53 23,88 €/6 users 8,2 Faible (USA)
Proton Pass Gratuit (10 alias) / 23,88 € Tous AES-256 + SRP TOTP, YubiKey, passkeys Suisse Securitum, open source En développement fin 2026 9,0 Élevée (Suisse)
KeePass 100% gratuit Win/Linux (clients tiers partout) AES-256, ChaCha20 Via plugins Local uniquement Communautaires Manuel (partage de fichier) 8,0 Maximale (local)
KeePassXC 100% gratuit Win/Mac/Linux (clients mobiles tiers) AES-256, Argon2 YubiKey challenge-response Local uniquement Cure53 (2022) Manuel (partage de fichier) 8,5 Maximale (local)
Apple Keychain Gratuit (iCloud+ requis) Apple uniquement (extension Chrome) AES-256 (matériel) Face ID, Touch ID Apple (mixte) Apple interne Partage familial iCloud+ 7,5 Moyenne (verrouillé Apple)
Google Password Manager Gratuit Chrome, Android AES-256 Compte Google 2FA USA (Google) Google interne Via Google Family Link 7,0 Faible (USA)
Roboform Gratuit limité / 23,88 € Tous AES-256 TOTP, Google Authenticator USA Aucun public 35,88 €/5 users 6,5 Faible (USA)

Le cas Google Password Manager : gratuit mais cloud Google obligatoire

Le gestionnaire de Google est intégré à Chrome et Android. Il remplit automatiquement les formulaires, génère des mots de passe, alerte si vos identifiants apparaissent dans une fuite connue.

Le hic : tout passe par les serveurs Google, et la MFA repose sur votre compte Google. Si Google vous suspend un jour (ça arrive, parfois à tort), vous perdez l’accès à votre coffre de mots de passe. C’est arrivé à plusieurs utilisateurs français en 2024.

En pratique, c’est correct pour un utilisateur Android qui ne quitte jamais Chrome. Pour un usage sérieux, Bitwarden Free reste la meilleure alternative gratuite.

1. Un gestionnaire de mots de passe est-il vraiment sûr ?

Oui, à condition de choisir un éditeur sérieux et d’utiliser un mot de passe maître robuste (minimum 16 caractères, idéalement 20+). Le chiffrement zero-knowledge garantit que même l’éditeur ne peut pas lire vos mots de passe. Bitwarden, 1Password, Proton Pass, Dashlane sont audités régulièrement. Le risque vient moins du gestionnaire que d’un mot de passe maître faible ou réutilisé.

2. Bitwarden gratuit ou payant en 2026 ?

La version Free de Bitwarden suffit pour 95% des particuliers en 2026 : synchronisation multi-appareils, générateur de mots de passe, MFA TOTP, importation depuis LastPass. La version Premium à 9,99 €/an ajoute le monitoring du dark web et 1 Go de stockage chiffré. Pour un usage familial, le plan Family à 39,96 €/an pour 6 utilisateurs reste imbattable.

3. 1Password vs Bitwarden : lequel choisir ?

Si vous êtes 100% Apple et prêt à payer, 1Password est le plus abouti : interface native, Touch ID / Face ID, Watchtower. Si vous cherchez le rapport qualité-prix, Bitwarden est imbattable : gratuit pour l’essentiel, 9,99 €/an pour Premium, et open source progressif. Pour les familles mixtes (Apple + Android + Windows), Bitwarden reste le meilleur choix.

4. Proton Pass vaut-il le coup en 2026 ?

Oui, surtout si vous êtes sensible à la souveraineté. Proton Pass est hébergé en Suisse, hors juridiction US et UE, mais conforme RGPD. Le plan Plus à 23,88 €/an inclut les alias email illimités, la surveillance du dark web, et l’intégration avec Proton Mail. Le hic : le plan family est en développement fin 2026, et Proton Pass reste moins complet que 1Password pour les usages avancés.

5. Apple Keychain suffit-il pour un usage quotidien ?

Si vous êtes 100% dans l’écosystème Apple (iPhone, Mac, iPad), Apple Keychain suffit. Le chiffrement est matériel, la MFA passe par Face ID ou Touch ID, et la fonction est gratuite avec iCloud+. En revanche, le jour où vous ajoutez un PC Windows ou un smartphone Android, ça coince. Pour une famille mixte Apple + Android, il faut Bitwarden.

6. Comment migrer depuis LastPass après le piratage ?

Six étapes : exportez votre coffre LastPass en CSV depuis les paramètres avancés, vérifiez que les notes sécurisées et les codes 2FA sont bien sauvegardés (souvent ils ne le sont pas), importez le CSV dans Bitwarden ou Proton Pass, testez sur 5 comptes critiques (banque, email, réseaux sociaux), supprimez votre compte LastPass, activez la MFA TOTP ou YubiKey sur votre nouveau gestionnaire.

7. Que faire si mon mot de passe maître est compromis ?

Changez immédiatement le mot de passe maître depuis un autre appareil (pour vérifier que le pirate n’a pas encore accès). Générez un nouveau mot de passe maître de 20+ caractères via le générateur intégré. Changez tous les mots de passe sensibles stockés dans le coffre (banque, email principal, comptes pros). Vérifiez vos comptes sur haveibeenpwned.com. Activez une YubiKey si possible.

8. Les gestionnaires de mots de passe sont-ils piratables ?

Oui, comme tout logiciel. LastPass s’est fait pirater en 2022 avec des conséquences graves. Mais avec un chiffrement zero-knowledge et un mot de passe maître robuste (20+ caractères), un pirate exfiltre un coffre illisible. La vraie menace, c’est un mot de passe maître faible. Bitwarden, 1Password, Proton Pass n’ont jamais perdu de coffres lisibles.

9. Faut-il vraiment payer pour un gestionnaire ?

Pas forcément pour un usage basique : Bitwarden Free ou KeePassXC couvrent 95% des besoins. Le premium devient rentable à partir de 5 comptes différents, d’un usage familial (NordPass Family à 23,88 €/an pour 6), ou si vous avez besoin du monitoring du dark web (Bitwarden Premium à 9,99 €/an). Pour les pros, le SSO et la console admin nécessitent un abonnement Business.

10. Quelle est la différence entre KeePass et KeePassXC ?

KeePass, lancé en 2003, est le logiciel d’origine, développé par Dominik Reichl sous Windows. KeePassXC est un fork communautaire moderne, multiplateforme (Windows, Mac, Linux), sous licence GPL. En pratique, KeePassXC est plus actif, plus audité, et recommandé en 2026. Les deux utilisent le format de fichier .kdbx, donc compatibles entre eux.

Alexi Tauzin
Alexi Tauzin 🛡️ Éditeur & Expert Cyber

Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.

Laisser un commentaire