1. Le grand bouleversement (2025–2026)
Si vous n'avez pas vérifié la configuration de votre gestionnaire de mots de passe depuis l'année dernière, vous risquez d'avoir une mauvaise surprise.
Le marché des gestionnaires de mots de passe a connu plus de bouleversements entre mi-2025 et début 2026 que durant les cinq années précédentes. Dashlane a supprimé son plan gratuit. Bitwarden a augmenté ses prix pour la première fois en une décennie. 1Password a discrètement augmenté ses tarifs jusqu'à 33 %. Et des chercheurs de l'ETH Zurich ont exposé des failles cryptographiques sérieuses dans trois des plus grands gestionnaires cloud en même temps.
Pendant ce temps, les passkeys ont atteint une masse critique. iOS 26 vous a finalement permis d'exporter les passkeys vers des gestionnaires tiers. Et LastPass a poursuivi son désastre au ralenti — désormais avec 438 millions de dollars de pertes en cryptomonnaie documentées liées à sa violation de 2022.
Ce guide coupe à travers le bruit. Il couvre chaque changement majeur, les tarifs mis à jour, et des recommandations honnêtes pour 2026. Si vous cherchez ce qui était vrai en 2025, nous avons conservé le guide original intact — mais c'est ici que vous devez être maintenant.
2. Le paysage des menaces 2026
Les chiffres ne s'améliorent pas :
| Metric | Données 2026 |
|---|---|
| Attaques de credential-stuffing par mois | 1,5 milliard |
| Mots de passe divulgués en 2025 (plus grosse fuite) | 16 milliards |
| Part des mots de passe divulgués qui étaient uniques | seulement 6 % |
| Mots de passe faibles ou réutilisés | 94% |
| Adultes US utilisant un gestionnaire de mots de passe | 36% |
| Moyenne de mots de passe par utilisateur | 100+ |
| Taille du marché des gestionnaires de mots de passe (2026) | 4,57 milliards $ |
| CAGR du marché | 21.9% |
Constat principal : 94 % des mots de passe dans les bases de données compromises sont faibles ou réutilisés. Cela signifie que presque tous ceux qui n'utilisent pas de gestionnaire de mots de passe — ou ne l'utilisent pas correctement — sont effectivement exposés.
Le cracking alimenté par l'IA a encore accéléré la cadence. Une étude 2025 testant 14,2 millions de mots de passe réels a trouvé que 85,6 % pouvaient être cassés par un système alimenté par l'IA en moins de dix secondes. Les clusters GPU utilisés dans les attaques modernes sont des ordres de grandeur plus rapides que ceux d'il y a trois ans. Les mots de passe de huit caractères avec casse mixte et symboles, autrefois considérés comme forts, sont désormais trivialement cassables.
Les recommandations NIST actuelles : 15 caractères ou plus, générés aléatoirement. Un gestionnaire de mots de passe est la seule façon pratique de maintenir cette norme sur 100+ comptes.
3. L'ère des Passkeys
Les passkeys ont franchi le point de bascule.
- 69% de consommateurs ont désormais au moins une passkey (contre 39 % il y a deux ans)
- 54% trouvent les passkeys plus pratiques que les mots de passe
- Google : 800 millions de comptes avec passkeys, +352 % de croissance après les avoir rendus par défaut
- Microsoft : A rendu les passkeys par défaut pour les nouveaux comptes (mai 2025), +120 % de croissance
- Amazon : 175 millions d'utilisateurs ont créé des passkeys la première année
- 87% des entreprises ont déployé ou prévoient de déployer des passkeys (FIDO Alliance)
La percée iOS 26
Pendant des années, les passkeys créées sur les appareils Apple étaient effectivement piégées dans iCloud Keychain. Si vous vouliez passer à Android ou à un gestionnaire multiplateforme, vos passkeys ne vous suivaient pas.
iOS 26 (septembre 2025) a changé cela. Apple a implémenté le Credential Exchange Protocol (CXP) développé par la FIDO Alliance — une norme qui permet aux utilisateurs de transférer des passkeys et des mots de passe directement entre applications de gestion d'identifiants, chiffrés de bout en bout, authentifiés avec Face ID. Pas d'exports CSV non sécurisés. Pas de fichiers en clair. Juste un transfert sécurisé d'application à application.
Bitwarden a été le premier gestionnaire tiers à supporter CXP. 1Password, Dashlane et Proton Pass l'adoptent activement.
Ce que cela signifie pour votre choix de gestionnaire
Le support des passkeys est désormais un exigence de base, pas un différenciateur. Ce qui compte en 2026, c'est la synchronisation cross-platform des passkeys — créer une passkey sur votre iPhone et pouvoir réellement l'utiliser sur Windows ou Android.
Chaque gestionnaire examiné ci-dessous supporte les passkeys. Les différences résident dans la qualité de la synchronisation entre écosystèmes et la capacité d'import/export via CXP. Pour une analyse approfondie, voir notre Passkeys Ultimate Guide.
4. Tableau des tarifs mis à jour 2026
| Manager | Prix 2025 | Prix 2026 | Change |
|---|---|---|---|
| Bitwarden Premium | 9,99 $/an (0,83 $/mois) | 19,80 $/an (1,65 $/mois) | ↑ +98 % (janv. 2026) |
| 1Password Individual | 2,99 $/mois | 3,99 $/mois (à partir de mars 2026) | ↑ +33% |
| 1Password Families | 4,99 $/mois | 5,99 $/mois (à partir de mars 2026) | ↑ +20% |
| Dashlane | 2,75 $/mois + plan gratuit | 4,99 $/mois, plan gratuit supprimé | ☠️ |
| NordPass | 1,49 $/mois | ~1,59–1,99 $/mois (promo) | ↑ mineur |
| Proton Pass | Gratuit / payant | Gratuit (inchangé) | ✅ stable |
| Bitwarden Free | Free | Gratuit (inchangé) | ✅ stable |
| KeePassXC | Gratuit (open source) | Gratuit (inchangé) | ✅ stable |
Points clés :
- Bitwarden : Première augmentation de prix en 10 ans. Les utilisateurs existants ont reçu une remise de 25 % sur leur premier renouvellement. Le plan gratuit reste pleinement fonctionnel.
- 1Password : A expliqué l'augmentation comme reflétant "valeur produit croissante et investissement en sécurité". Pas d'application rétroactive pour les abonnés existants.
- Dashlane : Les comptes gratuits sont passés en mode lecture seule le 16 septembre 2025 et seront supprimés définitivement le 16 septembre 2026. Le plan payant le moins cher actuel est à 4,99 $/mois (~60 $/an).
- NordPass : Les prix varient fortement selon les promotions. Les tarifs annoncés vont de 1,38 $/mois (plan 2 ans) à 2,99 $/mois (de base). Considérez tout prix vu comme susceptible de changer.
5. Principaux gestionnaires passés en revue
Bitwarden — Meilleur plan gratuit, versions payantes en hausse
Meilleur pour : Utilisateurs qui veulent un plan gratuit capable ou qui n'ont pas d'objection à payer un peu plus pour la transparence open source.
Bitwarden reste la référence pour la gestion de mots de passe gratuite. Le niveau gratuit offre mots de passe illimités, synchronisation multi-appareils et chiffrement de bout en bout — des fonctionnalités que les plans « gratuits » concurrents érodent ou éliminent.
Le niveau payant (19,80 $/an en 2026) est une hausse significative par rapport à avant mais reste l'une des options premium les plus abordables du marché. Nouveauté 2026 : facturation mensuelle flexible (auparavant annuelle uniquement) et défense proactive contre le phishing.
Avertissement 2026 : Les chercheurs de l'ETH Zurich ont trouvé 12 vulnérabilités dans l'implémentation de chiffrement zero-knowledge de Bitwarden (février 2026). Bitwarden a corrigé 7 des 10 problèmes signalés ; 3 ont été acceptés comme compromis de conception intentionnels. Toutes les attaques nécessitent une compromission complète du serveur — il n'y a aucune preuve d'exploitation en conditions réelles. Bitwarden n'a jamais subi de fuite.
Forces : Open source, auto-hébergeable (via Vaultwarden sur Raspberry Pi), solide plan gratuit, audité activement.
Faiblesses : L'interface est fonctionnelle mais datée comparée à 1Password. La récente augmentation de prix peut surprendre les utilisateurs existants.
1Password — Meilleure UX, prix premium
Meilleur pour : Équipes, familles et utilisateurs qui veulent l'expérience la plus soignée et sont prêts à payer pour cela.
1Password continue de mener en expérience utilisateur. Son architecture Secret Key — une clé aléatoire côté appareil qui rend les attaques côté serveur mathématiquement impossibles — a été mise en avant comme la meilleure de sa catégorie par les mêmes chercheurs de l'ETH Zurich qui ont trouvé des problèmes chez les autres gestionnaires.
Nouveautés 2025–2026 : gestion de clés SSH, améliorations de la surveillance Watchtower des fuites, et MSP Edition sur Pax8 Marketplace. L'augmentation de prix de mars 2026 (3,99 $/mois individuel, 5,99 $/mois familles) le place dans le haut du marché grand public, mais la qualité la justifie pour les utilisateurs qui utiliseront réellement les fonctionnalités avancées.
Forces : Architecture de sécurité de premier ordre, excellente UX cross-platform, solides fonctionnalités familiales et d'équipe, Travel Mode.
Faiblesses : Pas de plan gratuit. Augmentation de prix sans application rétroactive pour les abonnés existants.
NordPass — Dossier propre, chiffrement moderne
Meilleur pour : Utilisateurs qui veulent un chiffrement moderne (XChaCha20) et un historique de sécurité propre à un prix moyen.
NordPass utilise le chiffrement XChaCha20 — considéré comme plus tourné vers l'avenir que AES-256, en particulier sur le matériel mobile. La société n'a pas d'antécédent de fuite signalée, ce qui contraste avec LastPass et même les récentes conclusions de l'ETH Zurich (NordPass n'était pas inclus dans cette étude).
Nouvelles fonctionnalités ajoutées fin 2025 et 2026 : Email Masking (création d'adresses jetables pour protéger votre e-mail réel), partage limité dans le temps, stockage de documents (passeport, ID), et NordProtect (surveillance de crédit, verrouillage de crédit TransUnion, surveillance des prêts — lancé décembre 2025).
La tarification est confuse à cause des promotions fréquentes. Prévoyez de payer 1,59–1,99 $/mois sur un plan 1–2 ans, avec un tarif de base de 2,99 $/mois.
Forces : Chiffrement XChaCha20, pas d'antécédent de fuite, email masking, solide plan gratuit (appareils illimités, mots de passe illimités sur une session active), support des passkeys.
Faiblesses : Le plan gratuit limite les connexions simultanées à un appareil. La tarification est opaque à cause des promotions constantes.
Proton Pass — Confidentialité d'abord, gratuit solide
Meilleur pour : Utilisateurs axés sur la confidentialité, journalistes, activistes et toute personne souhaitant la protection des données sous juridiction suisse.
Proton Pass est soutenu par Proton — la société derrière ProtonMail et ProtonVPN — et opère sous la loi suisse sur la confidentialité. Il est open source, audité de manière indépendante et offre l'une des offres gratuites les plus généreuses du marché : appareils illimités, mots de passe illimités et alias e-mail basiques.
Nouveautés 2025–2026 : Proton Pass CLI (accès terminal/script à votre coffre), intégration SimpleLogin améliorée pour les alias e-mail, et Proton Sentinel (détection de menaces alimentée par IA pour votre compte).
Pour les utilisateurs déjà dans l'écosystème Proton, le bundle Proton Unlimited (Pass + VPN + Mail + Drive + Calendar) offre un rapport qualité-prix intéressant.
Forces : Juridiction suisse, open source, solide plan gratuit, alias e-mail intégrés, protection Proton Sentinel alimentée par IA, pas d'antécédent de fuite.
Faiblesses : L'écosystème est le plus fort si vous utilisez déjà d'autres produits Proton. Moins soigné que 1Password sur certaines plateformes.
Dashlane — ⚠️ Plus de gratuit
Meilleur pour : … moins d'utilisateurs qu'avant.
Dashlane a mis fin à son plan gratuit le 16 septembre 2025. Les comptes qui étaient gratuits sont désormais en lecture seule jusqu'en septembre 2026, date à laquelle ils seront supprimés. Le plan payant le moins cher actuel est à 4,99 $/mois (~60 $/an) — parmi les plus chers du marché grand public.
Dashlane a toujours des points forts légitimes : excellente UX, support des passkeys (40 % des utilisateurs Dashlane stockent désormais au moins une passkey, soit le double par rapport à l'année précédente), et la plateforme a traité de manière proactive certaines vulnérabilités de l'ETH Zurich. Mais la combinaison du prix et de la suppression du plan gratuit rend difficile de le recommander plutôt que Bitwarden, NordPass ou Proton Pass pour la plupart des utilisateurs.
Si vous êtes actuellement sur Dashlane : Les comptes gratuits sont passés en lecture seule le 16 septembre 2025. Exportez votre coffre avant la suppression définitive après le 16 septembre 2026.
Forces : Bonne UX, forte adoption des passkeys, réponse proactive en sécurité.
Faiblesses : Option grand public la plus chère, plan gratuit éliminé, certaines vulnérabilités ETH Zurich encore non résolues.
Keeper — Orientation Enterprise
Meilleur pour : Entreprises et équipes ayant besoin d'un contrôle d'accès avancé, de rapports de conformité et d'intégrations IT.
Keeper ne fait pas beaucoup de bruit dans le grand public, mais apparaît régulièrement dans les bilans de sécurité d'entreprise. Des fonctionnalités comme les contrôles d'accès basés sur les rôles, des journaux d'audit détaillés et l'intégration avec des fournisseurs SSO le rendent approprié pour les organisations ayant des exigences de conformité (SOC 2, HIPAA, etc.).
Pour les utilisateurs individuels, Keeper commence à 2,92 $/mois — compétitif avec 1Password, mais sans la même palette de fonctionnalités orientées consommateur. Probablement pas votre premier choix sauf si votre employeur l'utilise.
Gestionnaires intégrés (Apple Passwords, Google Password Manager, Edge)
Les gestionnaires intégrés sont devenus véritablement bons. Apple Passwords (iOS 18+) supporte désormais les passkeys, la surveillance des fuites, et — depuis iOS 26 — l'export basé sur CXP vers des applications tierces.
Quand l'intégré suffit : Vous êtes entièrement dans un seul écosystème (tout Apple ou tout Google), vous avez des besoins simples, et vous ne partagez pas de mots de passe avec des membres de la famille.
Quand passer à un gestionnaire dédié : Vous utilisez plusieurs plateformes, avez besoin de partage familial ou d'équipe, voulez une surveillance avancée des fuites, ou stockez autre chose que des mots de passe basiques (clés SSH, notes sécurisées, cartes de paiement).
6. Open Source & self-hosted
KeePassXC
La référence pour la gestion de mots de passe entièrement hors ligne. Votre coffre ne touche jamais un serveur cloud — c'est un fichier chiffré que vous contrôlez entièrement. KeePassXC est le fork multiplateforme (Windows, macOS, Linux) maintenu activement.
Compromis : la synchronisation entre appareils nécessite que vous gériez le fichier vous-même (via Syncthing, iCloud ou similaire). Pas de surveillance intégrée des fuites ni de partage. Pas pour tout le monde, mais idéal pour les utilisateurs avec un modèle de menace élevé qui ne font pas confiance à un service cloud.
Vaultwarden (self-hosted Bitwarden)
Vaultwarden est un serveur léger compatible Bitwarden maintenu par la communauté qui fonctionne sur du matériel minimal — y compris un Raspberry Pi. Vous obtenez l'expérience client Bitwarden complète (extensions navigateur, applications mobiles) avec votre propre serveur en backend.
En 2026, Vaultwarden est activement développé et largement utilisé. C'est la meilleure option pour les utilisateurs qui veulent la commodité d'un cloud sans faire confiance à un serveur tiers.
7. Qui devrait utiliser quoi
Utilisez cet arbre de décision pour trouver votre correspondance :
- Voulez-vous ne rien payer ? → Bitwarden Free (meilleur polyvalent) ou Proton Pass Free (si la confidentialité est primordiale) ou KeePassXC (si vous voulez totalement hors ligne)
- Êtes-vous entièrement dans l'écosystème Apple ? → Apple Passwords est désormais suffisant pour un usage basique. Passez à Bitwarden ou 1Password si vous avez besoin de synchronisation multiplateforme ou de fonctionnalités avancées.
- Voulez-vous la meilleure UX et cela ne vous dérange pas de payer ? → 1Password (3,99 $/mois individuel, 5,99 $/mois familles)
- Voulez-vous un chiffrement moderne et un historique de sécurité propre à un prix moyen ? → NordPass (~1,59–1,99 $/mois en promo)
- La confidentialité est-elle votre priorité absolue ? → Proton Pass (loi suisse, open source, plan gratuit, alias e-mail)
- Utilisez-vous actuellement Dashlane Free ? → Exportez votre coffre immédiatement. Migrez vers Bitwarden Free ou Proton Pass Free.
- Gérez-vous une équipe ou une entreprise ? → 1Password Teams/Business or Keeper pour l'entreprise
- Voulez-vous le contrôle total de vos données ? → KeePassXC (hors ligne) ou Vaultwarden (self-hosted)
8. Antécédents de sécurité 2026
LastPass — Le désastre en cours
Le guide original excluait déjà LastPass des recommandations. La situation n'a fait qu'empirer :
- 438 millions $ de pertes en cryptomonnaie directement liées à la violation de 2022 (TRM Labs, décembre 2025)
- 24 millions $ règlement de recours collectif (décembre 2025) : 8,2 M$ pour exposition générale de données, 16,25 M$ pour pertes en cryptomonnaie
- 1,2 million £ d'amende de l'Information Commissioner's Office du Royaume-Uni pour mesures de sécurité inadéquates
- Janvier 2026 : Campagne de phishing active ciblant les utilisateurs LastPass avec de fausses notifications de maintenance
- Causes profondes citées : un ingénieur senior a travaillé avec des clés de production sur un ordinateur portable personnel ; coffres personnel et professionnel étaient liés par le même mot de passe maître ; les clés AWS n'ont pas été renouvelées après l'incident initial
Recommandation : N'utilisez pas LastPass. Si vous l'utilisez actuellement, migrez immédiatement.
Vulnérabilités ETH Zurich (février 2026)
Des chercheurs du Applied Cryptography Group de l'ETH Zurich ont publié des conclusions sur 25–27 vulnérabilités affectant Bitwarden, LastPass et Dashlane. Contexte clé :
- Le modèle d'attaque suppose compromission complète du serveur — une barre très haute qui n'a jamais été atteinte contre un gestionnaire de mots de passe majeur in the wild
- 1Password a été inclus dans la recherche et s'est révélé le plus sûr, grâce à son architecture Secret Key
- Bitwarden et Dashlane ont corrigé la plupart des problèmes ; la réponse de LastPass a été plus lente
- Aucune preuve d'exploitation in the wild
Cette recherche est importante, mais elle ne doit pas vous pousser à abandonner des gestionnaires bien considérés. Elle doit vous faire préférer des gestionnaires avec une approche architecturale solide (Secret Key de 1Password) ou du code open source pouvant être audité extérieurement.
9. Ce qui a changé depuis 2025
Un résumé pour les lecteurs du guide original :
| Topic | 2025 | 2026 |
|---|---|---|
| Bitwarden Premium | 9,99 $/an | 19,80 $/an ↑ |
| 1Password Individual | 2,99 $/mois | 3,99 $/mois ↑ |
| Plan gratuit Dashlane | Available | ☠️ Terminé Sep 2025 |
| Adoption des passkeys | Growing | Masse critique (69 % des consommateurs) |
| export de passkeys iOS | Verrouillé sur Apple | Standard CXP, fonctionne cross-platform |
| LastPass | Bad | Pire (438 M$ pertes crypto liées) |
| Recherche ETH Zurich | n/a | 25+ failles trouvées, partiellement corrigées |
| Facturation mensuelle Bitwarden | Annuel uniquement | Maintenant disponible |
| NordPass | Email masking à venir | Email masking + NordProtect en direct |
| Proton Pass | Jeu de fonctionnalités initial | CLI, Proton Sentinel ajoutés |
→ Voir le guide des gestionnaires de mots de passe 2025 pour la couverture complète originale.
❓ Foire aux questions
Est-il sûr d'utiliser un gestionnaire de mots de passe après les conclusions de l'ETH Zurich ?
Oui. Les vulnérabilités nécessitent que des attaquants contrôlent complètement les serveurs du gestionnaire — un scénario qui ne s'est produit avec aucun fournisseur majeur. Les chercheurs recommandent eux-mêmes d'utiliser des gestionnaires de mots de passe ; ils veulent juste que les fournisseurs soient plus honnêtes sur les garanties de sécurité. L'architecture de 1Password a été mise en avant comme la plus résistante à cette classe d'attaque.
Que doivent faire les utilisateurs Dashlane Free maintenant ?
Connectez-vous immédiatement et exportez votre coffre (Settings → Export). Les comptes gratuits sont passés en lecture seule le 16 septembre 2025 et seront supprimés après le 16 septembre 2026. Bitwarden Free et Proton Pass Free sont tous deux de solides alternatives gratuites.
Les gestionnaires de mots de passe intégrés au navigateur sont-ils suffisants ?
Pour un usage personnel basique dans un seul écosystème, oui. Mais ils n'ont pas le partage familial, la surveillance avancée des fuites, la synchronisation cross-platform, ni la capacité de stocker des éléments non-mot de passe comme les clés SSH ou des documents sécurisés. Un gestionnaire dédié en vaut la peine pour la plupart des utilisateurs.
Quelle est la minimum à faire si je ne fais rien pour l'instant ?
Activez un niveau gratuit de Bitwarden ou Proton Pass, importez vos mots de passe existants et commencez à générer des mots de passe uniques pour chaque nouveau compte. Cela vous place largement devant l'utilisateur moyen.
Dernière mise à jour : avril 2026. Les prix et les fonctionnalités sont susceptibles de changer — vérifiez sur les sites officiels des fournisseurs avant d'acheter.