Migrer mes mots de passe de 1Password vers un gestionnaire open source a été une étape que j’ai longtemps remise à plus tard. Pourtant, quand j’ai enfin franchi le pas, j’ai appris plusieurs choses importantes que je souhaite partager avec vous pour que votre migration soit sécurisée, fluide et sans perte d’accès.

Pourquoi migrer depuis 1Password ?

Pour moi, la motivation était claire : aligner mes outils sur des solutions open source pour plus de transparence et de contrôle. 1Password est excellent, mais certains d’entre-nous préfèrent des alternatives auditées publiquement ou auto-hébergeables comme KeePassXC, Bitwarden (ou sa variante auto-hébergeable Vaultwarden), ou Passbolt.

Avant de commencer : checklist de sécurité

  • Sauvegarder votre coffre 1Password : créez une sauvegarde complète sur un support chiffré et séparé.
  • Préparer un environnement isolé : effectuez l’export et la conversion sur un ordinateur de confiance, idéalement hors ligne, pour minimiser les risques.
  • Connaître les formats d’export : 1Password permet différents types d’export (CSV, 1PIF selon la version). Comprenez quel format l’autre gestionnaire accepte.
  • Attendre les fenêtres sensibles : planifiez la migration quand vous avez du temps pour tester l’accès à vos comptes.
  • Changer votre mot de passe maître ? : si vous soupçonnez une fuite, changez le mot de passe maître avant d’exporter.

Étapes pratiques pour migrer sans perdre l’accès

Voici la méthode que j’ai suivie et qui fonctionne bien en pratique :

  • 1. Faire un inventaire — Passez en revue vos éléments dans 1Password : identifiants, notes sécurisées, cartes, licences. Notez les éléments très sensibles (banque, 2FA de secours) pour les vérifier en priorité.
  • 2. Exporter vos données depuis 1Password — Selon votre installation (app macOS/Windows ou 1Password.com) vous pouvez :
    • Utiliser la fonction Export > CSV via l’application 1Password. Attention : le CSV est en clair.
    • Sur certaines versions plus anciennes, l’export peut être en 1PIF ; c’est utile si le gestionnaire cible supporte l’import 1PIF directement.
  • 3. Protéger le fichier d’export — Dès que l’export est généré, mettez-le dans un conteneur chiffré (VeraCrypt, conteneur chiffré système) ou chiffrez-le avec GPG. Ne le laissez jamais en clair sur le bureau.
  • 4. Choisir la cible et préparer l’import — J’ai testé ces options :
    • KeePassXC : parfait si vous voulez une base locale (fichier .kdbx). Il importe CSV, mais je recommande de mapper les champs manuellement et de vérifier les doublons.
    • Bitwarden / Vaultwarden : importateur CSV très pratique. Bitwarden a aussi une version web/cloud, tandis que Vaultwarden permet l’auto-hébergement avec une empreinte plus légère.
    • Passbolt : orienté équipes, import possible via CSV mais nécessite souvent un peu plus d’ajustement.
  • 5. Nettoyer et normaliser le CSV — Les champs entre 1Password et votre nouveau gestionnaire ne correspondent pas toujours. Ouvrez le CSV dans un éditeur sécurisé (ou un script Python) et :
    • Vérifiez les colonnes : titre, url, username, password, notes, tags.
    • Supprimez les entrées obsolètes.
    • Combinez les champs si nécessaire (par ex. premier/dernier nom).
  • 6. Importer en test — Avant d’importer tout le coffre, importez d’abord quelques entrées critiques (email, banque, accounts importants) pour valider le mapping des champs et le bon fonctionnement.
  • 7. Vérifier l’accès à chaque compte — Testez la connexion sur les comptes importés (sans réinitialiser de mot de passe). Si l’auto-complétion fonctionne et que les credentials sont corrects, vous êtes sur la bonne voie.
  • 8. Supprimer l’export en clair — Une fois l’import validé, effacez de manière sécurisée le fichier CSV/1PIF (utilisez un effaceur sécurisé ou supprimez le conteneur chiffré après l’avoir démonté).
  • 9. Raffiner : activer 2FA et réviser les mots de passe faibles — Profitez de la migration pour activer la 2FA partout où c’est possible et remplacer les mots de passe réutilisés ou faibles.

Risques courants et comment les éviter

  • Fuite du fichier CSV — Le plus grand risque. Toujours chiffrer l’export et éviter les plateformes cloud non chiffrées pour transférer le fichier.
  • Perte de mapping des champs — Testez en petit lots pour éviter les mauvaises surprises.
  • Accès temporaire interrompu — Conservez une copie chiffrée de votre ancien gestionnaire au moins jusqu’à validation complète.
  • Mauvaise suppression — Ne supprimez pas immédiatement votre compte 1Password : conservez-le pendant quelques jours en lecture seule jusqu’à vérification finale.

Comparaison rapide des options open source

Gestionnaire Type Import CSV Auto-hébergeable Idéal pour
Bitwarden Open core (client open source) Oui Oui (Vaultwarden) Utilisateurs cherchant cloud + option auto-hébergement
KeePassXC Complètement open source Oui Local file (.kdbx) Utilisateurs locaux/offline voulant contrôle total
Passbolt Open source (orienté équipe) Oui (ajustements à prévoir) Oui Équipes et collaboration sécurisée
Vaultwarden Serveur non officiel pour Bitwarden Oui Oui Auto-hébergement léger pour Bitwarden

Astuces personnelles que j’utilise

  • Exporter par lots et valider par catégorie (finance, travail, loisirs).
  • Utiliser un script pour anonymiser temporairement certains champs lors de tests.
  • Conserver une checklist post-migration (2FA activée, mots de passe uniques, suppression de l’export).
  • Documenter la procédure de restauration pour mes appareils (si un appareil perd l’accès, savoir comment récupérer le fichier .kdbx ou réinstaller le client).

Si vous voulez, je peux vous fournir un petit modèle CSV prêt à l’import pour Bitwarden/KeePass, ou vous guider pas à pas en fonction du gestionnaire open source que vous choisissez. Dites-moi lequel et je vous prépare ça.