Courage, fuyons !

L’entreprise derrière le gestionnaire de mots de passe a discrètement changé d’équipe dirigeante en début d’année. Depuis, certains termes ont disparu du site web de promotion de la solution open source, comme « inclusion » et « transparence » et même, temporairement, l’engagement de proposer une offre « toujours gratuite ».

Depuis le début de l’année, Bitwarden a fait quelques discrets changements dans son équipe dirigeante et sur son site web. Celles-ci inquiètent certains utilisateurs quant à la direction que prend le projet de gestionnaire de mots de passe open source : depuis 2021, il se démarquait de la concurrence en restant le dernier service d’ampleur à fournir gratuitement la synchronisation fixe/mobile.

• BitWarden : un gestionnaire de mots de passe qui se démarque de la concurrence

Changement discret d’équipe de direction

En effet, comme l’a repéré Fast Company vendredi 15 mai, l’ancien CEO, Michael Crandell, a laissé la place à Michael Sullivan mais le changement n’avait été annoncé publiquement que par le changement de statut de leurs deux comptes LinkedIn. Ainsi, Michael Crandell est passé à un rôle de simple « conseiller » pendant que Michael Sullivan est arrivé en tant que CEO en février dernier après avoir quitté le même poste chez insightsoftware, explique-t-il sur son profil LinkedIn. Il y ajoute qu’il « possède une solide expérience dans tous les aspects des fusions et acquisitions, notamment une expérience directe auprès de grandes sociétés de capital-investissement ».

Sur LinkedIn aussi, le responsable financier de l’entreprise depuis 2019, Stephen Morrison, indique avoir quitté ses fonctions en avril dernier. Il est remplacé par Michael Shenkman.

Kyle Spearrin, qui a créé le projet, reste CTO depuis 2016. Mais la stabilité du fondateur ne semble pas s’accompagner de celles des valeurs mises en avant par le projet. Ainsi, plusieurs pages du site web du projet ont été modifiées.

Notamment, la mention du « always free » (en français, « toujours gratuit ») accompagnant la présentation de l’offre pour une utilisation « personnelle » gratuite a été, un temps, supprimée.

Suite à la publication de l’article de nos confrères, cette mention est réapparue. Sur le subreddit consacré à Bitwarden, un employé de l’entreprise affirme que celle-ci a été réintégrée et que c’était « un simple oubli de la part de l’équipe marketing ». L’entreprise a affirmé à Fast Company qu’elle « restait déterminée à proposer une offre gratuite solide qui apporte une réelle valeur ajoutée aux particuliers ».

Une notion fluide du courage

Mais d’autres changements ont été apportés au site du projet. Ainsi, la page « carrière » affichait jusque-là des valeurs de « Gratitude, responsabilité, inclusion et transparence » rassemblées sous l’acronyme GRIT (qui veut aussi dire « courage » en anglais).

Mais ce GRIT a été transformé récemment en un moins courageux « Gratitude, responsabilité, innovation et confiance ».

Là aussi, la page a encore été modifiée pour remettre le terme de transparence dans la définition de la confiance et celui d’« environnement inclusif » dans celle de la « gratitude ».

Juste avant le changement de direction, l’entreprise avait discrètement annoncé dans un billet de blog l’augmentation de ses tarifs premium. Ceux-ci sont passés à 19,80 dollars par an, alors qu’ils étaient encore à 10 dollars par an en début d’année.

Vaultwarden comme alternative ?

Toutes ces modifications inquiètent quant à la direction du projet. Ainsi, certains expliquent avoir déjà migré vers la solution Vaultwarden qui permet d’auto-héberger son gestionnaire de mots de passe et encouragent à le faire tant que « les clients Bitwarden sont open source et l’API du serveur est publique ».

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)

Rappelons que Vaultwarden est compatible avec Bitwarden et peut donc accueillir directement les données qui y ont été stockées. Ajoutons aussi que le projet n’est « pas associé à Bitwarden » ou à l’entreprise, même si, selon la page GitHub, « l’un des mainteneurs actifs de Vaultwarden est employé par Bitwarden et est autorisé à contribuer au projet sur son temps libre. Ces contributions sont indépendantes de Bitwarden et examinées par d’autres mainteneurs ». Enfin, comme nous le disions, si Bitwarden est régulièrement audité, ce n’est pas le cas du projet Vaultwarden.

Suite à ces réactions, Mike Sullivan a, pour la première fois, pris la parole sur le blog de l’entreprise en tant que CEO. Il y assure que « l’open source est le fondement de tout ce que Bitwarden développe. La possibilité de vérifier le code, d’héberger soi-même ses données et de s’assurer de leur authenticité plutôt que de se contenter de croire en elles ne sont pas de simples atouts supplémentaires : ce sont les raisons pour lesquelles Bitwarden se distingue de toutes les autres solutions du secteur, et cela ne changera pas ». Il ajoute que l’engagement d’avoir une version gratuite de Bitwarden est « permanent ». Son billet ne revient par contre pas sur les notions de « transparence » et d’ « inclusivité » qui ne sont pas mentionnées.

Trop tard ?

Dans son rapport annuel, l’autorité française de protection des données constate un record de fuites de données en 2025 : 6 167 signalements lui ont été faits, une augmentation de 9,5 % en un an. La CNIL promet d’augmenter ses contrôles sur les manquements en matière de cybersécurité.

On pouvait s’en douter avec les multiples fuites de données évoquées ces derniers temps, mais la CNIL le confirme dans son rapport annuel : « la CNIL s’est vue en définitive notifiée de 6 167 violations en 2025, ce qui représente tout de même une hausse de 9,5 % par rapport à 2024 ». Pour 2024, l’autorité signalait l’année dernière avoir reçu 5 629 notifications de violation de données personnelles.

En mars dernier, le patron de l’ANSSI faisait déjà le constat que les « niveaux de menaces sont très significatifs » mais il ajoutait : « on n’est pas sur une explosion ou un raz-de-marée en 2025 ».

Encore une année record

« L’année 2024 établissait un record. Il a malheureusement été dépassé en 2025 avec presque 10 % de notifications supplémentaires », indique l’autorité de protection des données qui a publié ce rapport ce lundi 18 mai. Elle souligne observer trois tendances sur ces signalements de violations de données.

Ainsi, et « comme les années précédentes, le piratage continue d’être la nature d’incident la plus fréquemment déclarée ». La CNIL évoque notamment le vol de données depuis un compte utilisateur légitime, l’utilisation de rançongiciel, le phishing ou encore le credential stuffing (utilisation de bases de données de couples identifiant/mot de passe volées pour tester s’ils ont été utilisés ailleurs). Il atteint 50 % des signalements en 2025. Mais la fuite peut se faire aussi sans intention néfaste, ainsi 13 % des signalements concernent l’envoi de données personnelles à un mauvais destinataire, 7 % le vol ou la perte de matériel et de données et encore 7 % la publication non intentionnelle d’informations.

La deuxième tendance évoquée par la CNIL dans son rapport est le ciblage de certaines attaques. Sans nommer la solution en question, l’autorité explique notamment que « 2025 a notamment été marquée par une série de vols de données visant les entreprises clientes d’un éditeur de solution de CRM ». Elle ajoute qu’une série d’attaques a ciblé les fédérations sportives françaises.

• Tennis, spéléologie : nouvelles fuites de données chez les fédérations sportives

Enfin, elle signale l’augmentation des violations de données susceptibles de concerner plus d’un million de personnes : « il y en a eu une quarantaine en 2025 (une trentaine en 2024) ». Dans les chiffres du rapport de la CNIL, le secteur de l’administration publique se distingue : il représente 19 % des violations de données signalées à l’autorité. Rappelons, par exemple, la fuite de données concernant 1,6 million de comptes en décembre 2025, alors que l’agence avait déjà subi une fuite portant sur près de 37 millions de Français en 2024 qui lui a valu une amende de 5 millions d’euros.

En 2026, 50 % de ses contrôles et actions répressives de la CNIL aux manquements en matière de cybersécurité

Au Monde, la présidente de la CNIL, Marie-Laure Denis, affirme qu’une des conséquences des fuites de données collectées par l’administration publique est « l’altération du lien de confiance entre l’État et les citoyens, car l’État a une responsabilité particulière à l’égard des données des Français ».

En réaction à cette augmentation des signalements, l’autorité annonce augmenter, cette année, les contrôles sur la sécurité des données. « La CNIL consacrera 50 % de ses contrôles et actions répressives aux manquements en matière de cybersécurité », explique-t-elle dans son communiqué. La présidente de la CNIL indique à nos confrères du Monde qu’en 2025, « c’était entre un quart et un tiers ».

Elle indique, dans le rapport, qu’après avoir publié sa recommandation sur l’authentification multifacteur en mars 2025 [PDF], avoir « fortement incité les organismes gérant de grandes bases de données » à la mettre en place et leur avoir laissé un temps d’adaptation,« des contrôles seront réalisés tout au long de l’année 2026 ».

Répercussion budgétaire mécanique

Mais cet effort sur le contrôle de la sécurisation des données se répercutera mécaniquement sur les autres missions de l’autorité. Dans son rapport, la CNIL souligne encore qu’elle évolue dans « un contexte budgétaire contraint ». Elle y ajoute d’ailleurs qu’ « en 2026, la CNIL n’a obtenu aucune création de postes malgré ses besoins induits par un accroissement de sa charge sur les missions historiques et l’ajout de nouvelles compétences liées à plusieurs règlements européens, notamment en matière d’intelligence artificielle ».

Rappelons que ce n’est pas l’autorité qui perçoit le montant des amendes, il est versé au budget général de l’État. Récemment, le gouvernement a évoqué l’idée de les allouer à un nouveau fonds dédié à la modernisation des infrastructures numériques dans une logique assumée de « pollueur-payeur ».

Concernant les autres sujets, justement, la CNIL constate encore une hausse des plaintes qu’elle a reçues globalement. Ainsi, alors qu’« un record avait été établi en 2024, avec 17 772 plaintes reçues par la CNIL, en hausse de plus de 8 % par rapport à l’année précédente », l’autorité souligne qu’il a été battu en 2025 avec une augmentation « de plus de 10 % » avec un total de 20 150.

Dans son rapport, la CNIL souligne être intervenue « auprès de nombreux organismes pour leur rappeler la réglementation applicable concernant le recours à des dispositifs de télésurveillance d’épreuves d’examen et de vidéoprotection ».

Ainsi, elle évoque l’exemple de « plaintes relatives au projet envisagé par une université [sans la nommer dans le rapport] de procéder à des enregistrements vidéo et sonores des étudiants pendant des épreuves d’examen à distance ». Finalement, la présidente de la CNIL a « adressé un avertissement à l’université l’invitant à « revoir sa copie » avant la mise en place effective de ce projet, notamment sur l’impératif de réaliser une analyse d’impact, sur les risques du dispositif, et sur l’obligation de fournir une information précise aux personnes concernées ». Elle évoque aussi avoir rappelé à « plusieurs communes que les systèmes de vidéoprotection doivent être mis en œuvre conformément au code de la sécurité intérieure (CSI) et au RGPD ».

Dans son rapport, la CNIL rappelle aussi que « le FICOBA ne dépend plus de l’exercice des droits indirects géré par la CNIL », ce mécanisme qui permet d’« accéder aux informations vous concernant enregistrées dans certains fichiers publics ». Le Fichier des comptes bancaires « notamment utilisé par l’administration en cas de contrôle fiscal, est désormais en accès direct », explique l’autorité, « la démarche peut désormais s’effectuer depuis le site www.impots.gouv.fr. Ce changement de cadre permet une réaffectation des ressources pour les demandes relatives à d’autres fichiers.» En effet, la CNIL explique qu’elle a clôturé, en 2025, 32 262 dossiers d’exercice des droits indirects « dont 27 492 concernaient des demandes d’accès au Fichier national des comptes bancaires et assimilés (FICOBA) qui relevait de la CNIL jusqu’au 6 janvier 2025. »

L’autorité rappelle aussi dans son rapport le bilan qu’elle avait déjà fait en début d’année sur les 487 millions d’euros d’amende infligés en 2025, avec notamment celles contre Google et Shein qui totalisent à elles seules 475 millions.