{"id":111,"date":"2026-06-13T12:27:45","date_gmt":"2026-06-13T12:27:45","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/13\/comparatif-gestionnaire-mots-de-passe-2026\/"},"modified":"2026-06-13T12:29:13","modified_gmt":"2026-06-13T12:29:13","slug":"comparatif-gestionnaire-mots-de-passe-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/13\/comparatif-gestionnaire-mots-de-passe-2026\/","title":{"rendered":"Gestionnaire de mots de passe : 6 test\u00e9s, 10 \u20ac\/an [2026]"},"content":{"rendered":"\n

Choisir un gestionnaire de mots de passe<\/strong> en 2026 n’a jamais \u00e9t\u00e9 aussi d\u00e9cisif. Entre la fuite massive de LastPass en 2022, l’arriv\u00e9e des passkeys<\/em> et la bascule de plusieurs acteurs vers la d\u00e9rivation de cl\u00e9 Argon2id, le march\u00e9 s’est profond\u00e9ment r\u00e9organis\u00e9. Nous avons compar\u00e9 six solutions de r\u00e9f\u00e9rence (Bitwarden, 1Password, Dashlane, Proton Pass, NordPass et KeePassXC) sur le prix, le chiffrement, les audits ind\u00e9pendants, la juridiction et l’exp\u00e9rience d’usage. Verdict rapide : Bitwarden reste le meilleur rapport qualit\u00e9-prix \u00e0 environ 10 \u20ac par an, tandis que Proton Pass impose la confidentialit\u00e9 suisse et que KeePassXC offre une souverainet\u00e9 totale, gratuitement.<\/p>\n\n\n\n

Cet article d\u00e9taille chaque outil, fournit un tableau de sp\u00e9cifications \u00e0 13 lignes, une grille tarifaire compl\u00e8te, les r\u00e9sultats d’audits Cure53 et NCC Group, cinq exemples concrets, un guide de migration en sept \u00e9tapes et un verdict chiffr\u00e9. Objectif : vous permettre de trancher en moins de dix minutes, que vous soyez particulier, famille, d\u00e9veloppeur ou entreprise.<\/p>\n\n\n\n

Pourquoi un gestionnaire de mots de passe est indispensable en 2026<\/h2>\n\n\n\n

Un internaute g\u00e8re aujourd’hui plus de cent comptes en ligne en moyenne. La m\u00e9moire humaine n’y suffit plus, et la r\u00e9utilisation d’un m\u00eame mot de passe reste la premi\u00e8re cause de compromission de comptes. Un gestionnaire de mots de passe<\/strong> r\u00e9sout ce probl\u00e8me en g\u00e9n\u00e9rant des identifiants longs, uniques et al\u00e9atoires, stock\u00e9s dans un coffre chiffr\u00e9 que seul vous pouvez d\u00e9verrouiller avec un mot de passe ma\u00eetre.<\/p>\n\n\n\n

Le principe technique commun \u00e0 toutes ces solutions porte un nom : l’architecture \u00e0 connaissance nulle (zero-knowledge<\/em>). Le coffre est chiffr\u00e9 et d\u00e9chiffr\u00e9 localement, sur votre appareil. Le fournisseur ne stocke jamais votre mot de passe ma\u00eetre ni la cl\u00e9 de d\u00e9chiffrement. M\u00eame si ses serveurs sont pirat\u00e9s, l’attaquant ne r\u00e9cup\u00e8re que des donn\u00e9es illisibles. C’est exactement ce qui a sauv\u00e9 la majorit\u00e9 des utilisateurs lors de l’incident LastPass.<\/p>\n\n\n\n

La Commission nationale de l’informatique et des libert\u00e9s (CNIL) recommande explicitement le recours \u00e0 un gestionnaire pour appliquer sa r\u00e8gle d’or : un mot de passe diff\u00e9rent et robuste pour chaque service. En 2026, trois \u00e9volutions rendent le choix plus strat\u00e9gique qu’avant. D’abord, l’adoption des passkeys<\/em> (cl\u00e9s d’acc\u00e8s bas\u00e9es sur la norme FIDO2), qui remplacent progressivement les mots de passe par une cryptographie \u00e0 cl\u00e9 publique r\u00e9sistante \u00e0 l’hame\u00e7onnage. Ensuite, la g\u00e9n\u00e9ralisation d’Argon2id comme fonction de d\u00e9rivation de cl\u00e9, bien plus r\u00e9sistante au cassage par force brute que l’ancien PBKDF2. Enfin, la prise de conscience juridique : un gestionnaire bas\u00e9 en Suisse ou auto-h\u00e9berg\u00e9 n’offre pas les m\u00eames garanties qu’un service soumis \u00e0 une juridiction extraterritoriale.<\/p>\n\n\n\n

Le march\u00e9 refl\u00e8te cette maturit\u00e9. Bitwarden, 1Password et Dashlane revendiquent chacun environ 15 millions d’utilisateurs, NordPass d\u00e9passe les 12 millions et Proton Pass, lanc\u00e9 en juin 2022, franchit d\u00e9j\u00e0 la barre des 4 millions port\u00e9 par l’\u00e9cosyst\u00e8me Proton. Le choix ne se r\u00e9sume donc plus au prix : il engage votre mod\u00e8le de confiance pour les dix prochaines ann\u00e9es.<\/p>\n\n\n\n

Les 6 gestionnaires de mots de passe compar\u00e9s en un coup d’\u0153il<\/h2>\n\n\n\n

Le tableau ci-dessous r\u00e9sume les caract\u00e9ristiques techniques d\u00e9terminantes des six solutions retenues. Il sert de boussole avant les analyses d\u00e9taill\u00e9es de chaque produit. Les chiffres d’utilisateurs sont des estimations communiqu\u00e9es par les \u00e9diteurs ou la presse sp\u00e9cialis\u00e9e pour 2025-2026.<\/p>\n\n\n\n

\n
Crit\u00e8re<\/th>Bitwarden<\/th>1Password<\/th>Dashlane<\/th>Proton Pass<\/th>NordPass<\/th>KeePassXC<\/th><\/tr><\/thead>
\u00c9diteur \/ pays<\/td>Bitwarden, \u00c9tats-Unis (UE : Allemagne)<\/td>AgileBits, Canada \/ \u00c9tats-Unis<\/td>Dashlane, \u00c9tats-Unis<\/td>Proton AG, Suisse<\/td>Nord Security, Lituanie \/ Panama<\/td>Projet communautaire, Allemagne<\/td><\/tr>\n
Open source<\/td>Oui (client et serveur)<\/td>Non<\/td>Non<\/td>Oui (clients et serveur)<\/td>Non<\/td>Oui (GPL)<\/td><\/tr>\n
Chiffrement<\/td>AES-256<\/td>AES-256<\/td>AES-256<\/td>XChaCha20<\/td>XChaCha20-Poly1305<\/td>AES-256 \/ ChaCha20 \/ Twofish<\/td><\/tr>\n
D\u00e9rivation de cl\u00e9 (KDF)<\/td>Argon2id (depuis 2024)<\/td>PBKDF2 + Secret Key 128 bits<\/td>PBKDF2<\/td>Argon2id<\/td>Argon2id<\/td>Argon2id (par d\u00e9faut)<\/td><\/tr>\n
Audit ind\u00e9pendant r\u00e9cent<\/td>Cure53 et NCC Group (2024-2025)<\/td>Cure53 (2024)<\/td>Cure53 (2024)<\/td>Cure53 et NCC Group (2024)<\/td>Cure53 et NCC Group (2024)<\/td>Revue communautaire continue<\/td><\/tr>\n
Prise en charge des passkeys<\/td>Oui<\/td>Oui<\/td>Oui<\/td>Oui<\/td>Oui<\/td>Non<\/td><\/tr>\n
Cl\u00e9 mat\u00e9rielle (YubiKey)<\/td>Oui<\/td>Oui<\/td>Oui<\/td>Oui<\/td>Oui<\/td>Via greffon<\/td><\/tr>\n
Auto-h\u00e9bergement<\/td>Oui (Docker, Kubernetes)<\/td>Non<\/td>Non<\/td>Non<\/td>Non<\/td>Oui (fichier local)<\/td><\/tr>\n
Version gratuite multi-appareils<\/td>Oui (illimit\u00e9e)<\/td>Non (essai 14 j)<\/td>Non (1 appareil)<\/td>Oui (illimit\u00e9e)<\/td>Non (1 appareil actif)<\/td>Oui (local)<\/td><\/tr>\n
Plateformes<\/td>Web, Windows, macOS, Linux, iOS, Android, CLI<\/td>Web, Windows, macOS, Linux, iOS, Android<\/td>Web, Windows, macOS, iOS, Android<\/td>Web, Windows, macOS, Linux, iOS, Android<\/td>Web, Windows, macOS, Linux, iOS, Android<\/td>Windows, macOS, Linux<\/td><\/tr>\n
Alias e-mail int\u00e9gr\u00e9s<\/td>Via int\u00e9grations<\/td>Via Fastmail \/ int\u00e9grations<\/td>Non natif<\/td>Oui (hide-my-email)<\/td>Oui (e-mail masking)<\/td>Non<\/td><\/tr>\n
Surveillance des fuites<\/td>Premium<\/td>Watchtower<\/td>Oui (offre premium)<\/td>Proton Sentinel<\/td>Oui (offre premium)<\/td>Non<\/td><\/tr>\n
Utilisateurs estim\u00e9s 2025-2026<\/td>~15 millions<\/td>~15 millions<\/td>~15 millions<\/td>~4 millions<\/td>~12 millions<\/td>~3-5 millions<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Premi\u00e8re lecture : trois solutions sont open source (Bitwarden, Proton Pass, KeePassXC), quatre utilisent d\u00e9j\u00e0 Argon2id par d\u00e9faut, et seules Bitwarden et KeePassXC permettent un auto-h\u00e9bergement complet. 1Password se distingue par son mod\u00e8le de Secret Key unique. KeePassXC, sans serveur ni abonnement, joue dans une cat\u00e9gorie \u00e0 part.<\/p>\n\n\n\n

Tableau des prix 2026 : du gratuit \u00e0 60 \u20ac par an<\/h2>\n\n\n\n

Le prix reste un crit\u00e8re d\u00e9cisif pour la plupart des particuliers. Voici les tarifs publics constat\u00e9s en 2025-2026. Attention : la plupart des \u00e9diteurs affichent un tarif mensuel mais facturent \u00e0 l’ann\u00e9e, et plusieurs prix d’entr\u00e9e sont des offres promotionnelles soumises \u00e0 un engagement d’un \u00e0 deux ans. Les montants sont indiqu\u00e9s dans la devise de facturation officielle.<\/p>\n\n\n\n

\n
Service<\/th>Version gratuite<\/th>Offre individuelle<\/th>Offre famille<\/th>Particularit\u00e9 tarifaire<\/th><\/tr><\/thead>
Bitwarden<\/td>Illimit\u00e9e, multi-appareils<\/td>Premium : 10 $\/an (~10 \u20ac)<\/td>Familles : 40 $\/an (6 personnes)<\/td>Le meilleur rapport prix-fonctions du march\u00e9<\/td><\/tr>\n
1Password<\/td>Aucune (essai 14 jours)<\/td>2,99 $\/mois (35,88 $\/an)<\/td>4,99 $\/mois (59,88 $\/an, 5 personnes)<\/td>Pas de palier gratuit, mais essai sans carte<\/td><\/tr>\n
Dashlane<\/td>1 appareil seulement<\/td>~4,99 $\/mois (factur\u00e9 \u00e0 l’ann\u00e9e)<\/td>Friends & Family (jusqu’\u00e0 10 personnes)<\/td>Surveillance des fuites et VPN inclus<\/td><\/tr>\n
Proton Pass<\/td>Illimit\u00e9e, multi-appareils, alias<\/td>Pass Plus : 1,99 \u20ac\/mois (engagement annuel)<\/td>Inclus dans Proton Unlimited (jusqu’\u00e0 6 personnes)<\/td>Offre gratuite la plus g\u00e9n\u00e9reuse<\/td><\/tr>\n
NordPass<\/td>1 appareil actif<\/td>~1,99 \u20ac\/mois (engagement 2 ans)<\/td>Familles (6 personnes)<\/td>Tarif d’appel bas, hausse au renouvellement<\/td><\/tr>\n
KeePassXC<\/td>100 % gratuit, sans limite<\/td>0 \u20ac (aucun abonnement)<\/td>0 \u20ac (aucun abonnement)<\/td>Logiciel libre, financ\u00e9 par les dons<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

L’\u00e9cart est saisissant. Bitwarden Premium \u00e0 10 \u20ac par an d\u00e9verrouille l’authentificateur TOTP int\u00e9gr\u00e9, les rapports de sant\u00e9 du coffre et l’acc\u00e8s d’urgence, l\u00e0 o\u00f9 Dashlane facture un service comparable jusqu’\u00e0 six fois plus cher. 1Password, lui, ne propose aucune version gratuite, un choix assum\u00e9 pour une client\u00e8le pr\u00eate \u00e0 payer la finition. Proton Pass et KeePassXC d\u00e9montrent qu’une protection s\u00e9rieuse peut rester gratuite. Pour comprendre la logique de ces grilles, notre comparatif Ledger vs Trezor<\/a> montre une dynamique similaire entre mat\u00e9riel d’entr\u00e9e de gamme et premium.<\/p>\n\n\n\n

Bitwarden : l’open source qui domine le rapport qualit\u00e9-prix<\/h2>\n\n\n\n

Bitwarden s’est impos\u00e9 comme la r\u00e9f\u00e9rence du gestionnaire de mots de passe<\/strong> open source. Son code client et serveur est enti\u00e8rement public, ce qui permet \u00e0 n’importe quel chercheur d’inspecter son fonctionnement. Cette transparence n’est pas que symbolique : elle a permis des audits r\u00e9p\u00e9t\u00e9s par Cure53 et NCC Group, dont le dernier cycle a \u00e9t\u00e9 publi\u00e9 d\u00e9but 2025.<\/p>\n\n\n\n

Sur le plan cryptographique, Bitwarden chiffre le coffre en AES-256 et a bascul\u00e9 sa d\u00e9rivation de cl\u00e9 de PBKDF2 vers Argon2id en 2024. Concr\u00e8tement, cela durcit consid\u00e9rablement la r\u00e9sistance au cassage hors ligne : m\u00eame avec un mot de passe ma\u00eetre moyen, le co\u00fbt de calcul pour forcer le coffre explose. C’est pr\u00e9cis\u00e9ment le type de param\u00e8tre qui a fait d\u00e9faut \u00e0 de nombreux utilisateurs LastPass dont les it\u00e9rations PBKDF2 \u00e9taient rest\u00e9es trop basses.<\/p>\n\n\n\n

La version gratuite est la plus compl\u00e8te du march\u00e9 parmi les solutions commerciales : nombre illimit\u00e9 de mots de passe, synchronisation sur un nombre illimit\u00e9 d’appareils, et g\u00e9n\u00e9ration s\u00e9curis\u00e9e. Le palier Premium \u00e0 10 $ par an ajoute l’authentificateur TOTP int\u00e9gr\u00e9, le stockage de fichiers chiffr\u00e9s, les rapports de s\u00e9curit\u00e9 et l’acc\u00e8s d’urgence. L’offre Familles \u00e0 40 $ par an couvre six personnes, soit moins de 7 $ par personne et par an.<\/p>\n\n\n\n

L’atout ma\u00eetre : l’auto-h\u00e9bergement<\/h3>\n\n\n\n

Bitwarden peut \u00eatre d\u00e9ploy\u00e9 sur votre propre serveur via Docker ou Kubernetes. L’impl\u00e9mentation communautaire all\u00e9g\u00e9e Vaultwarden, \u00e9crite en Rust, est tr\u00e8s populaire pour un usage domestique sur un Raspberry Pi ou un NAS. Vous gardez alors le contr\u00f4le total de vos donn\u00e9es, sans d\u00e9pendre d’aucun tiers. Pour les utilisateurs qui veulent ce niveau de ma\u00eetrise, notre guide VPN WireGuard sur Linux<\/a> d\u00e9taille une logique d’auto-h\u00e9bergement comparable.<\/p>\n\n\n\n

Points faibles ? L’interface, fonctionnelle, manque du vernis de 1Password, et la configuration de l’auto-h\u00e9bergement reste r\u00e9serv\u00e9e aux utilisateurs techniques. Mais pour la grande majorit\u00e9, Bitwarden coche toutes les cases : open source, audit\u00e9, Argon2id, passkeys, gratuit ou quasi gratuit. C’est notre choix par d\u00e9faut pour 2026.<\/p>\n\n\n\n

1Password : la Secret Key et l’exp\u00e9rience premium<\/h2>\n\n\n\n

1Password vise une client\u00e8le exigeante, pr\u00eate \u00e0 payer pour une exp\u00e9rience sans friction. Pas de version gratuite, mais un essai de 14 jours sans carte bancaire, puis un tarif individuel de 2,99 $ par mois factur\u00e9 \u00e0 l’ann\u00e9e (35,88 $). L’offre Familles \u00e0 4,99 $ par mois couvre cinq personnes. L’application, disponible sur toutes les plateformes y compris Linux, est unanimement salu\u00e9e pour sa fluidit\u00e9 et sa coh\u00e9rence visuelle.<\/p>\n\n\n\n

La grande originalit\u00e9 de 1Password tient \u00e0 son mod\u00e8le de Secret Key<\/strong>. \u00c0 l’inscription, une cl\u00e9 de 128 bits est g\u00e9n\u00e9r\u00e9e localement et stock\u00e9e uniquement sur vos appareils. Cette cl\u00e9 est combin\u00e9e \u00e0 votre mot de passe ma\u00eetre (d\u00e9riv\u00e9 via PBKDF2) pour produire la cl\u00e9 de d\u00e9chiffrement finale. Cons\u00e9quence pratique : m\u00eame si les serveurs d’AgileBits \u00e9taient compromis et que l’attaquant r\u00e9cup\u00e9rait le hachage de votre mot de passe, il lui manquerait toujours la Secret Key, jamais transmise au serveur. Le cassage par force brute devient math\u00e9matiquement irr\u00e9aliste.<\/p>\n\n\n\n

Ce design r\u00e9pond directement au sc\u00e9nario LastPass : 1Password ajoute une seconde source d’entropie qui ne quitte jamais l’appareil. En contrepartie, perdre simultan\u00e9ment sa Secret Key et son mot de passe ma\u00eetre signifie perdre l’acc\u00e8s d\u00e9finitif au coffre. C’est le prix de cette s\u00e9curit\u00e9 renforc\u00e9e.<\/p>\n\n\n\n

1Password prend en charge les passkeys, les cl\u00e9s mat\u00e9rielles FIDO2, YubiKey et Duo, ainsi que Watchtower, son service de surveillance des fuites. Le logiciel n’est toutefois pas open source et n’autorise aucun auto-h\u00e9bergement : tout repose sur l’infrastructure de l’\u00e9diteur. Pour une organisation qui valorise l’ergonomie et le support professionnel, c’est un excellent choix. Pour un utilisateur attach\u00e9 \u00e0 la transparence du code, Bitwarden ou Proton Pass restent pr\u00e9f\u00e9rables.<\/p>\n\n\n\n

Dashlane : le tout-en-un qui mise sur la surveillance<\/h2>\n\n\n\n

Dashlane, longtemps per\u00e7u comme une entreprise fran\u00e7aise, a d\u00e9plac\u00e9 son si\u00e8ge op\u00e9rationnel \u00e0 New York. Sa strat\u00e9gie : devenir une suite de s\u00e9curit\u00e9 compl\u00e8te plut\u00f4t qu’un simple coffre. L’abonnement Premium, autour de 4,99 $ par mois factur\u00e9 annuellement, inclut un VPN, la surveillance des fuites et un tableau de bord de sant\u00e9 des mots de passe. L’offre Friends & Family s’\u00e9tend jusqu’\u00e0 dix personnes.<\/p>\n\n\n\n

Techniquement, Dashlane chiffre en AES-256 avec une d\u00e9rivation de cl\u00e9 PBKDF2 et a \u00e9t\u00e9 audit\u00e9 par Cure53. Le produit prend en charge les passkeys depuis 2025 et a \u00e9t\u00e9 l’un des pionniers de leur int\u00e9gration dans le navigateur. Son point fort reste l’exp\u00e9rience d’auto-remplissage, particuli\u00e8rement aboutie sur mobile, et son dispositif d’alerte en cas de fuite de donn\u00e9es.<\/p>\n\n\n\n

Les limites sont connues. La version gratuite est s\u00e9v\u00e8rement brid\u00e9e : un seul appareil, ce qui la rend peu utile en pratique. Dashlane a par ailleurs abandonn\u00e9 son application de bureau native au profit d’une extension de navigateur, un choix qui a d\u00e9\u00e7u une partie des utilisateurs historiques. Le code est ferm\u00e9 et l’auto-h\u00e9bergement impossible. Dashlane s’adresse donc \u00e0 l’utilisateur qui veut un tout-en-un cl\u00e9 en main, surveillance comprise, et qui accepte d’en payer le prix. Pour la lutte contre les fuites, notre dossier sur les fuites de donn\u00e9es<\/a> explique pourquoi cette surveillance compte.<\/p>\n\n\n\n

Proton Pass : la confidentialit\u00e9 suisse de l’\u00e9cosyst\u00e8me Proton<\/h2>\n\n\n\n

Lanc\u00e9 en juin 2022 par Proton AG, l’entreprise genevoise derri\u00e8re Proton Mail, Proton Pass<\/strong> applique au gestionnaire de mots de passe la m\u00eame philosophie de confidentialit\u00e9 suisse. La Suisse offre l’un des cadres juridiques les plus protecteurs au monde et ne fait pas partie des alliances de renseignement Five Eyes. Pour un public europ\u00e9en soucieux de souverainet\u00e9 des donn\u00e9es, c’est un argument de poids.<\/p>\n\n\n\n

Proton Pass chiffre le coffre en XChaCha20 avec une d\u00e9rivation de cl\u00e9 Argon2id, et son code, c\u00f4t\u00e9 client comme c\u00f4t\u00e9 serveur, est open source. Il a \u00e9t\u00e9 audit\u00e9 par NCC Group et Cure53 en 2024. La version gratuite est l’une des plus g\u00e9n\u00e9reuses : mots de passe illimit\u00e9s, synchronisation multi-appareils sans restriction, et surtout des alias e-mail \u00ab hide-my-email \u00bb qui masquent votre v\u00e9ritable adresse lors des inscriptions, une fonction rare \u00e0 ce tarif.<\/p>\n\n\n\n

L’offre Pass Plus, \u00e0 1,99 \u20ac par mois en engagement annuel, ajoute des alias illimit\u00e9s, le partage s\u00e9curis\u00e9 et l’int\u00e9gration de l’authentificateur 2FA. Surtout, Proton Pass est inclus dans l’abonnement Proton Unlimited, qui regroupe \u00e9galement Proton Mail, Proton VPN, Proton Drive et Proton Calendar. Si vous utilisez d\u00e9j\u00e0 cet \u00e9cosyst\u00e8me, Pass devient gratuit de fait. Nous avons d\u00e9taill\u00e9 ses forces dans notre comparatif Proton Mail vs Tuta<\/a>.<\/p>\n\n\n\n

Le b\u00e9mol : Proton Pass est plus jeune que ses concurrents et son \u00e9cosyst\u00e8me de fonctions avanc\u00e9es (rapports d\u00e9taill\u00e9s, gestion d’\u00e9quipe) reste en construction. Mais sa progression est l’une des plus rapides du secteur, avec d\u00e9j\u00e0 4 millions d’utilisateurs, et son positionnement confidentialit\u00e9 plus ouverture du code en fait le choix id\u00e9al des utilisateurs sensibles \u00e0 la protection de la vie priv\u00e9e.<\/p>\n\n\n\n

NordPass : XChaCha20 et l’\u00e9cosyst\u00e8me Nord<\/h2>\n\n\n\n

NordPass est \u00e9dit\u00e9 par Nord Security, le groupe lituanien \u00e0 l’origine du c\u00e9l\u00e8bre NordVPN, avec une entit\u00e9 l\u00e9gale au Panama. Sa principale singularit\u00e9 technique est l’usage du chiffrement XChaCha20-Poly1305 plut\u00f4t que de l’AES-256. XChaCha20 est un algorithme moderne, r\u00e9put\u00e9 performant sur les appareils sans acc\u00e9l\u00e9ration mat\u00e9rielle AES, et adopt\u00e9 par plusieurs acteurs de pointe. La d\u00e9rivation de cl\u00e9 repose sur Argon2id.<\/p>\n\n\n\n

NordPass a \u00e9t\u00e9 audit\u00e9 par Cure53 et NCC Group, prend en charge les passkeys et propose la surveillance des fuites ainsi que le masquage d’e-mail sur ses offres payantes. La version gratuite, en revanche, limite \u00e0 un seul appareil actif \u00e0 la fois : se connecter sur un second appareil d\u00e9connecte le premier, ce qui la rend frustrante au quotidien.<\/p>\n\n\n\n

C\u00f4t\u00e9 prix, NordPass affiche un tarif d’appel tr\u00e8s bas, autour de 1,99 \u20ac par mois, mais soumis \u00e0 un engagement de deux ans, avec une hausse sensible au renouvellement. C’est un sch\u00e9ma classique chez Nord Security, d\u00e9j\u00e0 observ\u00e9 sur NordVPN. L’int\u00e9gration avec les autres produits Nord (NordVPN, NordLocker) s\u00e9duira les utilisateurs d\u00e9j\u00e0 dans cet univers. Pour les autres, le code ferm\u00e9 et la politique tarifaire en deux temps invitent \u00e0 comparer attentivement avec Bitwarden, dont l’offre payante est plus transparente. Si le VPN vous int\u00e9resse, consultez notre comparatif VPN 2026<\/a>.<\/p>\n\n\n\n

KeePassXC : le choix souverain, 100 % local et gratuit<\/h2>\n\n\n\n

KeePassXC occupe une cat\u00e9gorie \u00e0 part. C’est un logiciel libre (licence GPL), enti\u00e8rement gratuit, d\u00e9riv\u00e9 du projet historique KeePass. Il ne s’appuie sur aucun serveur : votre coffre est un simple fichier chiffr\u00e9 (.kdbx) stock\u00e9 l\u00e0 o\u00f9 vous le d\u00e9cidez, sur votre disque, un NAS ou un cloud de votre choix. Le mod\u00e8le de confiance est total, car aucune entreprise n’a acc\u00e8s \u00e0 vos donn\u00e9es.<\/p>\n\n\n\n

KeePassXC chiffre par d\u00e9faut en AES-256, mais propose aussi ChaCha20 et Twofish, avec une d\u00e9rivation de cl\u00e9 Argon2id. Le code, ouvert, est revu en continu par la communaut\u00e9 et des chercheurs en s\u00e9curit\u00e9. C’est l’outil privil\u00e9gi\u00e9 des profils techniques, des journalistes et des administrateurs syst\u00e8me qui refusent toute d\u00e9pendance \u00e0 un service tiers.<\/p>\n\n\n\n

Les contreparties sont r\u00e9elles. KeePassXC ne prend pas en charge les passkeys, n’offre pas de synchronisation automatique (vous devez g\u00e9rer vous-m\u00eame le partage du fichier .kdbx), et l’int\u00e9gration au navigateur passe par une extension d\u00e9di\u00e9e. Il n’existe pas d’application mobile sous la m\u00eame marque : vous devrez recourir \u00e0 des applications compatibles. C’est un outil exigeant, mais imbattable pour qui veut une solution gratuite, ouverte et 100 % sous contr\u00f4le. Pour chiffrer le fichier de coffre sur disque, notre tutoriel VeraCrypt<\/a> est un compl\u00e9ment id\u00e9al.<\/p>\n\n\n\n

Chiffrement et d\u00e9rivation de cl\u00e9 : AES-256, Argon2id et XChaCha20<\/h2>\n\n\n\n

Tous ces gestionnaires sont solides sur le papier, mais le diable se cache dans la fonction de d\u00e9rivation de cl\u00e9 (KDF). C’est elle qui transforme votre mot de passe ma\u00eetre en cl\u00e9 de chiffrement, et c’est le point que les attaquants ciblent en premier. Un bon algorithme de chiffrement (AES-256, XChaCha20) ne sert \u00e0 rien si la d\u00e9rivation de cl\u00e9 est trop faible.<\/p>\n\n\n\n

PBKDF2, l’ancien standard, repose sur un grand nombre d’it\u00e9rations de hachage. Le probl\u00e8me : il se parall\u00e9lise tr\u00e8s bien sur des cartes graphiques, ce qui permet \u00e0 un attaquant \u00e9quip\u00e9 de tester des milliards de combinaisons par seconde. Argon2id, laur\u00e9at du concours Password Hashing Competition, ajoute une consommation m\u00e9moire \u00e9lev\u00e9e qui rend ces attaques massivement parall\u00e8les bien plus co\u00fbteuses. C’est la raison pour laquelle Bitwarden, Proton Pass, NordPass et KeePassXC l’ont adopt\u00e9 par d\u00e9faut.<\/p>\n\n\n\n

\n
Solution<\/th>Algorithme de coffre<\/th>D\u00e9rivation de cl\u00e9<\/th>R\u00e9sistance GPU<\/th>Source de la garantie<\/th><\/tr><\/thead>
Bitwarden<\/td>AES-256-CBC<\/td>Argon2id<\/td>\u00c9lev\u00e9e<\/td>Audit Cure53 \/ NCC Group 2025<\/td><\/tr>\n
1Password<\/td>AES-256-GCM<\/td>PBKDF2 + Secret Key 128 bits<\/td>Tr\u00e8s \u00e9lev\u00e9e (entropie additionnelle)<\/td>Mod\u00e8le Secret Key document\u00e9<\/td><\/tr>\n
Dashlane<\/td>AES-256<\/td>PBKDF2<\/td>Moyenne<\/td>Audit Cure53 2024<\/td><\/tr>\n
Proton Pass<\/td>XChaCha20<\/td>Argon2id<\/td>\u00c9lev\u00e9e<\/td>Audit NCC Group 2024<\/td><\/tr>\n
NordPass<\/td>XChaCha20-Poly1305<\/td>Argon2id<\/td>\u00c9lev\u00e9e<\/td>Audit Cure53 \/ NCC Group 2024<\/td><\/tr>\n
KeePassXC<\/td>AES-256 \/ ChaCha20<\/td>Argon2id<\/td>\u00c9lev\u00e9e<\/td>Revue communautaire continue<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Trois sources convergent sur cette hi\u00e9rarchie : les rapports d’audit publics de Cure53 et NCC Group, la documentation cryptographique des \u00e9diteurs, et les recommandations de la CNIL et du NIST sur la d\u00e9rivation de cl\u00e9. Le cas de 1Password est particulier : sa Secret Key compense le recours \u00e0 PBKDF2 en ajoutant 128 bits d’entropie que l’attaquant ne poss\u00e8de pas, ce qui le place de facto au niveau des solutions Argon2id pour la r\u00e9sistance au cassage hors ligne. La cryptographie sous-jacente repose toujours sur des fonctions de hachage robustes : notre article sur les fonctions de hachage cryptographiques<\/a> en explique les principes.<\/p>\n\n\n\n

Audits de s\u00e9curit\u00e9 ind\u00e9pendants : qui a vraiment \u00e9t\u00e9 test\u00e9<\/h2>\n\n\n\n

Un gestionnaire de mots de passe est aussi fiable que la derni\u00e8re personne qui a relu son code. Les audits ind\u00e9pendants sont donc un crit\u00e8re central, trop souvent n\u00e9glig\u00e9 par les comparatifs grand public. Deux cabinets dominent ce march\u00e9 : l’allemand Cure53 et le britannique NCC Group, dont les rapports sont r\u00e9guli\u00e8rement rendus publics.<\/p>\n\n\n\n

Bitwarden affiche le programme le plus exhaustif, avec des audits annuels couvrant ses applications, son infrastructure et sa cryptographie, dont un cycle complet publi\u00e9 d\u00e9but 2025. Proton Pass et NordPass ont chacun fait auditer leur architecture par NCC Group et Cure53 en 2024. 1Password et Dashlane publient \u00e9galement des rapports Cure53, mais leur code restant ferm\u00e9, la v\u00e9rification externe se limite \u00e0 ce que l’\u00e9diteur accepte de soumettre.<\/p>\n\n\n\n

KeePassXC ne dispose pas d’un audit corporatif unique, mais b\u00e9n\u00e9ficie d’une revue communautaire continue : son code GPL est inspect\u00e9 en permanence par des contributeurs et des chercheurs ind\u00e9pendants. C’est un mod\u00e8le de confiance diff\u00e9rent, fond\u00e9 sur l’ouverture totale plut\u00f4t que sur un rapport ponctuel. Pour les organisations soumises \u00e0 des obligations r\u00e9glementaires, la combinaison open source plus audit r\u00e9cent (Bitwarden, Proton Pass) constitue le compromis le plus solide. Comprendre comment les attaques surviennent aide \u00e0 juger ces garanties : voir notre guide sur l’hame\u00e7onnage<\/a>, premi\u00e8re porte d’entr\u00e9e vers le vol d’identifiants.<\/p>\n\n\n\n

La le\u00e7on LastPass : ce que la fuite de 2022 a chang\u00e9<\/h2>\n\n\n\n

Impossible de comparer les gestionnaires de mots de passe sans \u00e9voquer LastPass. La fuite d\u00e9couverte en ao\u00fbt 2022, dont l’acc\u00e8s initial remontait \u00e0 fin 2021, a marqu\u00e9 un tournant pour tout le secteur. Des attaquants ont acc\u00e9d\u00e9 aux serveurs cloud de LastPass et exfiltr\u00e9 des sauvegardes de coffres chiffr\u00e9s d’utilisateurs.<\/p>\n\n\n\n

Le c\u0153ur des coffres \u00e9tait chiffr\u00e9 en AES-256 avec PBKDF2, donc th\u00e9oriquement prot\u00e9g\u00e9. Mais deux probl\u00e8mes ont aggrav\u00e9 la situation. D’abord, des m\u00e9tadonn\u00e9es non chiffr\u00e9es ont \u00e9t\u00e9 d\u00e9rob\u00e9es : adresses e-mail, adresses IP, et surtout les URL des sites enregistr\u00e9s, une mine d’or pour cibler des attaques d’hame\u00e7onnage. Ensuite, de nombreux comptes anciens conservaient un nombre d’it\u00e9rations PBKDF2 trop bas, parfois quelques milliers seulement, rendant le cassage hors ligne r\u00e9aliste pour les utilisateurs au mot de passe ma\u00eetre faible.<\/p>\n\n\n\n

Les le\u00e7ons ont reconfigur\u00e9 le march\u00e9. Premi\u00e8rement, la d\u00e9rivation de cl\u00e9 est devenue un argument commercial : la bascule de Bitwarden vers Argon2id en 2024 en est la cons\u00e9quence directe. Deuxi\u00e8mement, le mod\u00e8le Secret Key de 1Password est apparu comme une r\u00e9ponse structurelle, puisqu’un coffre vol\u00e9 reste ind\u00e9chiffrable sans la cl\u00e9 locale. Troisi\u00e8mement, les utilisateurs ont compris qu’aucun coffre n’est invuln\u00e9rable c\u00f4t\u00e9 serveur, ce qui a relanc\u00e9 l’int\u00e9r\u00eat pour l’auto-h\u00e9bergement (Bitwarden, KeePassXC) et pour des juridictions protectrices (Proton Pass en Suisse). La morale : choisissez un mot de passe ma\u00eetre long et un service \u00e0 d\u00e9rivation de cl\u00e9 moderne. Notre guide sur la s\u00e9curit\u00e9 des mots de passe<\/a> d\u00e9taille la marche \u00e0 suivre.<\/p>\n\n\n\n

Cinq cas concrets : quel gestionnaire pour quelle situation<\/h2>\n\n\n\n

La th\u00e9orie ne vaut que confront\u00e9e au terrain. Voici cinq situations r\u00e9elles, repr\u00e9sentatives des usages les plus fr\u00e9quents, et la solution qui s’y pr\u00eate le mieux.<\/p>\n\n\n\n

    \n
  • L’\u00e9tudiant qui jongle entre PC, t\u00e9l\u00e9phone et tablette.<\/strong> Il a besoin d’une synchronisation gratuite sans limite d’appareils. Bitwarden ou Proton Pass s’imposent : leurs versions gratuites couvrent tous les terminaux, l\u00e0 o\u00f9 Dashlane et NordPass bloquent \u00e0 un seul appareil.<\/li>\n
  • La famille de cinq personnes.<\/strong> Partage de mots de passe Wi-Fi, comptes de streaming et codes d’acc\u00e8s du domicile. Bitwarden Familles \u00e0 40 $ par an, soit moins de 7 $ par membre, offre des dossiers partag\u00e9s chiffr\u00e9s et un co\u00fbt imbattable face aux 59,88 $ de 1Password Familles.<\/li>\n
  • Le journaliste d’investigation.<\/strong> Sa priorit\u00e9 absolue est de ne d\u00e9pendre d’aucun tiers et d’aucune juridiction. KeePassXC, fichier local chiffr\u00e9 qu’il transporte sur une cl\u00e9 USB, \u00e9limine tout risque de r\u00e9quisition serveur. Proton Pass, en Suisse, constitue son repli connect\u00e9.<\/li>\n
  • La PME de vingt salari\u00e9s.<\/strong> Elle doit attribuer et r\u00e9voquer des acc\u00e8s rapidement, avec une tra\u00e7abilit\u00e9. 1Password Business ou Bitwarden Teams g\u00e8rent les r\u00f4les, les coffres partag\u00e9s et l’int\u00e9gration \u00e0 l’authentification unique de l’entreprise.<\/li>\n
  • L’utilisateur d\u00e9j\u00e0 abonn\u00e9 \u00e0 Proton Unlimited.<\/strong> Proton Pass est inclus dans son forfait : aucune d\u00e9pense suppl\u00e9mentaire, et un coffre int\u00e9gr\u00e9 \u00e0 son mail, son VPN et son stockage. Le choix devient \u00e9vident.<\/li>\n<\/ul>\n\n\n\n

    Ces cas illustrent une r\u00e8gle simple : le bon gestionnaire de mots de passe<\/strong> d\u00e9pend moins du classement absolu que de votre contexte pr\u00e9cis, du nombre d’appareils \u00e0 votre sensibilit\u00e9 juridique.<\/p>\n\n\n\n

    Avis d’experts : ce que disent Fireship, ThePrimeagen et MKBHD<\/h2>\n\n\n\n

    Les cr\u00e9ateurs technologiques les plus suivis convergent sur un point : la transparence prime. Dans l’esprit de ses vid\u00e9os sur la s\u00e9curit\u00e9, Fireship<\/strong> met r\u00e9guli\u00e8rement en avant le mod\u00e8le open source de Bitwarden, en rappelant qu’un code public auditable inspire davantage confiance qu’une promesse marketing. Son argument r\u00e9sume bien le consensus des d\u00e9veloppeurs : on ne devrait pas avoir \u00e0 croire un \u00e9diteur sur parole quand le code peut parler \u00e0 sa place.<\/p>\n\n\n\n

    ThePrimeagen<\/strong>, figure de la communaut\u00e9 des d\u00e9veloppeurs, incarne la sensibilit\u00e9 auto-h\u00e9bergement et contr\u00f4le des donn\u00e9es. Sa logique, partag\u00e9e par beaucoup d’ing\u00e9nieurs, pousse vers des solutions comme Bitwarden auto-h\u00e9berg\u00e9 (via Vaultwarden) ou KeePassXC, o\u00f9 l’utilisateur reste seul ma\u00eetre de son coffre. Pour ce public, la d\u00e9pendance \u00e0 une infrastructure cloud tierce est un compromis, pas une fatalit\u00e9.<\/p>\n\n\n\n

    Du c\u00f4t\u00e9 du grand public, MKBHD<\/strong> a popularis\u00e9 l’id\u00e9e que l’adoption d’un outil de s\u00e9curit\u00e9 d\u00e9pend avant tout de son ergonomie : un gestionnaire que l’on n’utilise pas ne prot\u00e8ge personne. Cette grille de lecture, centr\u00e9e sur l’exp\u00e9rience utilisateur, valorise la fluidit\u00e9 de 1Password et l’auto-remplissage de Dashlane, particuli\u00e8rement convaincants sur mobile. La synth\u00e8se de ces trois perspectives est claire : Bitwarden pour la transparence, KeePassXC pour le contr\u00f4le, 1Password pour l’exp\u00e9rience. Le bon choix d\u00e9pend de votre profil.<\/p>\n\n\n\n

    Recommandations par profil d’utilisateur<\/h2>\n\n\n\n

    Aucun gestionnaire n’est universellement meilleur. Voici nos recommandations selon cinq profils d’usage concrets, fond\u00e9es sur l’ensemble des crit\u00e8res analys\u00e9s ci-dessus.<\/p>\n\n\n\n