📍 Article principal du cluster : Vaultwarden self-hosted 2026 : guide complet. Pour la vue d’ensemble du cluster, lisez d’abord le pilier.
Migrer 30 personnes et 5 000 mots de passe de LastPass vers Vaultwarden sans qu’aucun collaborateur ne perde l’accès à un compte critique pendant la transition, c’est exactement ce que ce tutoriel vous fait réussir. La méthode présentée a été appliquée chez plusieurs PME à Dakar, Casablanca et Tunis, dont une fintech ivoirienne de 18 personnes ayant migré depuis 1Password Business en une semaine, sans aucun ticket de support.
Prérequis
- Un Vaultwarden de production déjà installé (voir Déployer Vaultwarden sur Coolify).
- Accès administrateur à votre organisation Vaultwarden.
- Accès propriétaire à votre organisation LastPass ou 1Password (admin global).
- Tableur (LibreOffice Calc ou Google Sheets) pour les vérifications.
- Niveau attendu : intermédiaire (CLI, CSV, JSON).
- Temps estimé : 1 à 4 heures selon la taille de l’équipe.
Étape 1 — Communiquer en interne avant tout
La technique est facile, le facteur humain est le vrai défi. Annoncez la migration avec au minimum sept jours de préavis. Précisez : la date du basculement, ce que les collaborateurs doivent faire (rien, tout est automatisé) et qui contacter en cas de problème. Préparez deux briefings de 15 minutes : un pour les utilisateurs (« comment installer l’extension Bitwarden »), un pour les administrateurs IT (« procédure complète et plan de rollback »).
Le piège classique : oublier d’inclure les freelances et stagiaires qui ont accès à certains coffres partagés. Faites un audit complet de votre organisation actuelle avant de commencer.
Étape 2 — Auditer votre coffre source
Connectez-vous à votre console admin LastPass ou 1Password. Listez :
- Le nombre total d’utilisateurs actifs.
- Le nombre total d’entrées (mots de passe, notes sécurisées, cartes de paiement, identités).
- Les groupes ou collections (LastPass : Shared Folders, 1Password : Vaults).
- Les comptes inactifs depuis plus de 6 mois (à supprimer ou archiver avant migration).
Sur 1Password, exportez la liste via Activity log. Sur LastPass, via Admin Dashboard → Reporting. Sauvegardez ce CSV de référence : il vous servira à comparer le nombre d’entrées avant et après migration.
Étape 3 — Exporter depuis 1Password
1Password permet l’export par coffre uniquement (par sécurité, pas d’export global). Pour chaque coffre :
- Ouvrez 1Password 8 desktop. Sélectionnez le coffre.
- Menu Fichier → Exporter → 1pux (toutes données).
- Choisissez un dossier sécurisé (
~/migration-vw/exports/) et nommez le fichier1password-export-coffre-X.1pux. - Saisissez votre mot de passe maître pour valider.
Le format .1pux est en réalité un ZIP contenant un JSON et les pièces jointes. Vaultwarden importe directement ce format depuis la version 2024.5 du web vault.
Étape 4 — Exporter depuis LastPass
LastPass offre deux options : export CSV web (limité aux mots de passe) ou export complet via lpass CLI (recommandé pour la migration équipe).
brew install lastpass-cli # macOS
sudo apt install lastpass-cli # Debian/Ubuntu
lpass login votre-email@entreprise.com
lpass export --color=never --sync=now > lastpass-export.csvLe CSV contient les colonnes : url, username, password, totp, extra, name, grouping, fav. Pour les shared folders, exportez chacun depuis le compte d’un membre ayant accès. Le format est compatible direct avec l’import Bitwarden.
Étape 5 — Préparer Vaultwarden côté cible
Avant l’import, créez la structure d’organisation cible dans Vaultwarden. Pour chaque coffre 1Password ou groupe LastPass, créez une collection Vaultwarden au nom équivalent. Cela évite de devoir rejouer les permissions plus tard.
Activez aussi la politique de sécurité organisationnelle :
- Master Password Policy : longueur 14, complexité élevée.
- Two-step Login Policy : 2FA obligatoire pour tous les membres.
- Personal Ownership Policy : interdire les coffres personnels mélangés avec l’organisation.
- Send Options Policy : limiter les Sends à 7 jours maximum.
Étape 6 — Importer dans Vaultwarden
Connectez-vous au web vault Vaultwarden en tant qu’admin. Allez dans Outils → Importer des données. Choisissez le format adéquat :
- 1Password 1pux pour les exports 1Password 8.
- LastPass (csv) pour les exports LastPass.
- Bitwarden (json) si vous venez d’une instance Bitwarden Cloud existante.
Sélectionnez l’organisation et la collection cible. Cliquez sur Importer. La barre de progression affiche en temps réel le nombre d’entrées traitées. Pour 5 000 entrées, comptez 30 à 60 secondes.
À la fin, comparez le nombre d’entrées importées avec votre audit de l’étape 2. Tout écart doit être investigué : entrées en doublon, fichiers corrompus, ou plus rarement entrées au format propriétaire non supporté.
Étape 7 — Inviter les utilisateurs
Pour chaque membre, dans Membres → Inviter, saisissez son email professionnel et assignez ses collections (lecture seule, lecture/écriture, gestion). Vaultwarden envoie un email d’invitation contenant un lien valide 5 jours.
Astuce pour 30 utilisateurs et plus : utilisez le Bitwarden Directory Connector pour synchroniser depuis votre Active Directory ou Google Workspace. Cela automatise les invitations et les rattachements aux collections en fonction des groupes existants.
Étape 8 — Période de double-écriture
C’est l’étape la plus importante et la plus négligée. Pendant 7 jours, demandez à votre équipe d’utiliser les deux systèmes en parallèle : tout nouveau mot de passe doit être ajouté à la fois dans LastPass/1Password et dans Vaultwarden. Si un service oublié refait surface (« j’ai besoin d’accéder à ce vieil outil de monitoring »), c’est pendant cette semaine qu’il sera détecté.
Au jour J+7, faites un dernier export delta du système source et importez-le dans Vaultwarden. Communiquez la fin de la double écriture et le passage au système unique.
Étape 9 — Décommissionnement du système source
Une fois la double-écriture terminée et l’équipe entièrement basculée :
- Désactivez le 2FA des comptes LastPass/1Password (sinon les utilisateurs ne pourront plus se connecter pour vérifier).
- Téléchargez un dernier export complet, archivez-le hors-ligne sur un disque chiffré (LUKS ou VeraCrypt) et stockez-le dans un coffre physique pendant 90 jours.
- Annulez l’abonnement LastPass/1Password (supprime automatiquement les données après 30 jours).
- Documentez la fin de migration dans votre wiki interne.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Pièces jointes manquantes après import | Variable ATTACHMENTS_FOLDER non créée |
Vérifier le volume Docker, créer le dossier /data/attachments |
| TOTP non importé | Format LastPass CSV ancien sans colonne totp | Réexporter via lpass CLI version 1.4+ |
| Entrées en doublon | Plusieurs imports successifs | Utiliser le filtre Vaultwarden « Doublons » dans Outils |
| Permissions de collection perdues | Import au niveau personnel au lieu d’organisation | Réimporter en sélectionnant explicitement l’organisation |
| Email d’invitation marqué spam | SPF/DKIM mal configurés sur votre domaine | Configurer SPF/DKIM/DMARC, refaire un test sur mail-tester.com |
| Coffre vide après import 1pux | Format export 1Password 7 incompatible | Mettre à jour vers 1Password 8 desktop avant export |
Adaptation au contexte ouest-africain
Trois points spécifiques aux PME africaines lors d’une migration. Connexion intermittente : préparez les exports localement sur un poste fixe avec une connexion stable, jamais depuis une 4G partagée. Un export interrompu peut corrompre les fichiers .1pux ou tronquer les CSV. Comptes WhatsApp Business et Wave Business : ces deux outils, omniprésents dans les workflows ouest-africains, n’ont pas d’export natif. Documentez-les manuellement dans Vaultwarden avec leurs codes de récupération avant migration. Comptes administratifs locaux : Sénélec, SDE, Onatel, MinFin, DGI Maroc, ARTCI, BCEAO. Ces comptes ont souvent un seul détenteur dans l’équipe ; profitez de la migration pour les passer en collection partagée et désigner un secondaire.
Tutoriels frères du cluster
- Déployer Vaultwarden sur Coolify avec HTTPS — le pré-requis : un Vaultwarden de production avant tout import.
- Vaultwarden + Authelia : SSO unifié pour PME — la suite logique : centraliser l’authentification après la migration.
FAQ
Puis-je migrer une équipe partiellement ? Oui, c’est même recommandé pour les équipes de plus de 50 personnes : pilote de 3 à 5 personnes pendant 2 semaines, puis migration par services.
Le mot de passe maître est-il transféré ? Non, par conception. Chaque utilisateur définit un nouveau master password Vaultwarden lors de son premier login. C’est l’occasion d’imposer une politique plus forte que l’ancienne.
Que se passe-t-il pour les comptes partagés en lecture seule ? Vaultwarden les ré-importe avec les permissions de la collection cible que vous avez définie. Si la collection est en lecture seule pour le groupe X, tous les membres du groupe X auront lecture seule.
Faut-il prévenir les fournisseurs SaaS du changement ? Non. Du côté du fournisseur (Google Ads, Meta Business, Wave, AWS), rien ne change : ce sont les mêmes identifiants, juste stockés ailleurs.
Comment gérer les TOTP partagés (cas légal et de sécurité) ? Vaultwarden supporte les TOTP par entrée. Pour un compte avec 3 utilisateurs autorisés, ils voient tous le code 6 chiffres en temps réel. C’est nécessaire pour les comptes admin que vous ne pouvez pas dupliquer (Wave Business, BCEAO, etc.).
Pour aller plus loin
- 🔝 Retour au pilier : Guide complet Vaultwarden 2026
- Documentation Bitwarden Import : bitwarden.com/help/import-data
- 1Password Export documentation officielle : support.1password.com/export
- Tutoriel suivant recommandé : Backups automatiques vers MinIO et S3