En bref : la plupart des iPhones bénéficient d'une excellente sécurité par défaut, mais Apple propose des dizaines de paramètres de confidentialité et de sécurité désactivés par défaut, enfouis à trois niveaux de menu, ou réglés sur l'option la moins privée par souci de commodité. Cette liste de contrôle les couvre tous. Si votre temps est limité, les cinq premiers éléments de la section Authentification représentent l'essentiel de la valeur sécuritaire. Si vous souhaitez être exhaustif, parcourez les 18 éléments — le processus complet prend environ 30 minutes. Pour des stratégies de prévention plus larges au-delà des paramètres spécifiques à l'iPhone, consultez notre guide sur comment rendre votre iPhone plus sécurisé en 2026.
Récapitulatif rapide
Avant la présentation détaillée, voici la liste de contrôle complète en un coup d'œil avec les niveaux de priorité. Utilisez-la comme référence rapide après avoir parcouru la version détaillée une première fois.
| # | Élément | Catégorie | Priorité | Durée |
|---|---|---|---|---|
| 1 | Code alphanumérique fort | Authentification | Critique | 2 min |
| 2 | Face ID / Touch ID activé | Authentification | Critique | 3 min |
| 3 | Authentification à deux facteurs pour l'identifiant Apple | Authentification | Critique | 5 min |
| 4 | Protection en cas de vol | Authentification | Critique | 1 min |
| 5 | Verrouillage automatique à 30 secondes ou 1 minute | Authentification | Élevée | 30 sec |
| 6 | Transparence du suivi des apps — tout refuser | Confidentialité | Élevée | 1 min |
| 7 | Audit des services de localisation | Confidentialité | Élevée | 5 min |
| 8 | Désactiver le partage de données analytiques | Confidentialité | Moyenne | 1 min |
| 9 | Vérification des autorisations sensibles | Confidentialité | Élevée | 5 min |
| 10 | Protection avancée des données pour iCloud | iCloud | Critique | 5 min |
| 11 | Localiser mon iPhone activé | iCloud | Critique | 1 min |
| 12 | Contacts de récupération et clé de récupération | iCloud | Élevée | 5 min |
| 13 | VPN ou filtrage DNS activé | Réseau | Élevée | 5 min |
| 14 | Désactiver la connexion automatique aux réseaux WiFi inconnus | Réseau | Moyenne | 1 min |
| 15 | iCloud Private Relay (pour les abonnés iCloud+) | Réseau | Moyenne | 1 min |
| 16 | Passer en revue les apps installées et supprimer celles inutilisées | Apps | Moyenne | 10 min |
| 17 | Vérifier les profils de configuration inconnus | Apps | Critique | 1 min |
| 18 | Mises à jour automatiques activées | Apps | Élevée | 1 min |
Passons maintenant en revue chaque élément en détail — ce qu'il faut faire, exactement où trouver le paramètre, et pourquoi c'est important.
Authentification (éléments 1–5)
L'authentification, c'est la porte d'entrée. Si un attaquant peut déverrouiller votre téléphone ou accéder à votre identifiant Apple, tous les autres paramètres deviennent sans importance — il a tout. Ces cinq éléments sécurisent cette porte d'entrée.
1. Définir un code alphanumérique fort
Où : Réglages, puis Face ID et code (ou Touch ID et code), puis Changer le code. Appuyez sur « Options du code » et choisissez « Code alphanumérique personnalisé ».
Pourquoi : un code à 4 chiffres offre 10 000 combinaisons — piratable en quelques minutes avec du matériel spécialisé. Un code numérique à 6 chiffres offre 1 million de combinaisons — mieux, mais encore vulnérable. Un code alphanumérique (lettres + chiffres + symboles) d'au moins 8 caractères offre des milliards de combinaisons et résiste efficacement aux attaques par force brute grâce à la limitation de débit d'iOS. Comme vous utilisez Face ID ou Touch ID pour le déverrouillage quotidien, le code est rarement saisi — un code plus long et plus fort ne vous ralentit donc pas.
Ce qu'il faut éviter : tout ce qui est devinable — votre date de naissance, numéro de téléphone, 000000, 123456, ou des chiffres répétés. Si quelqu'un qui vous connaît pourrait le deviner en 10 essais, il n'est pas assez fort. Les appareils GrayKey et Cellebrite utilisés par les forces de l'ordre et les attaquants sophistiqués exploitent les codes faibles ; un code alphanumérique fort rend leur tâche des ordres de grandeur plus difficile.
2. Activer Face ID / Touch ID
Où : Réglages, puis Face ID et code. Assurez-vous que Face ID est configuré pour le déverrouillage de l'iPhone, Apple Pay, iTunes et l'App Store, le remplissage automatique des mots de passe, et toutes les autres options disponibles.
Pourquoi : l'authentification biométrique remplit deux fonctions. Premièrement, elle rend le déverrouillage suffisamment rapide pour ne pas être tenté d'affaiblir votre code par commodité. Deuxièmement, elle garantit que certaines opérations sensibles (modification des mots de passe, approbation d'Apple Pay) nécessitent votre présence physique — un code seul pourrait être observé et reproduit, mais pas votre visage ou votre empreinte digitale (en pratique).
3. Vérifier que l'authentification à deux facteurs de l'identifiant Apple est activée
Où : Réglages, puis votre nom en haut, puis Connexion et sécurité, puis Authentification à deux facteurs.
Pourquoi : votre identifiant Apple contrôle les sauvegardes iCloud, Localiser mon iPhone, iMessage, FaceTime, les achats sur l'App Store, et potentiellement votre messagerie. Si un attaquant compromet votre identifiant Apple sans authentification à deux facteurs, il peut effacer votre appareil à distance, lire vos messages synchronisés iCloud, télécharger vos photos et vous exclure de votre compte. Avec l'authentification à deux facteurs activée, il lui faudrait également accéder à l'un de vos appareils de confiance — un niveau de difficulté bien plus élevé. Apple a rendu l'authentification à deux facteurs obligatoire pour la plupart des nouveaux comptes, mais les comptes plus anciens peuvent encore l'avoir désactivée. Vérifiez.
4. Activer la Protection en cas de vol
Où : Réglages, puis Face ID et code, puis faites défiler jusqu'à Protection en cas de vol, puis activez-la.
Pourquoi : cette fonctionnalité, introduite dans iOS 17.3, répond à un schéma d'attaque spécifique : quelqu'un observe votre code (par-dessus l'épaule dans un bar, par exemple), puis vole votre téléphone. Sans la Protection en cas de vol, ce code suffit à modifier votre mot de passe d'identifiant Apple, désactiver Localiser mon iPhone et vous exclure définitivement de votre compte. Lorsqu'elle est activée, les opérations sensibles (modification du mot de passe de l'identifiant Apple, désactivation de Localiser mon iPhone, modification de Face ID) exigent une authentification biométrique ainsi qu'un délai de sécurité d'une heure lorsque vous êtes éloigné de vos lieux habituels. Ce seul paramètre a empêché des milliers de cas de prise de contrôle de compte suite à un « iPhone volé » depuis son lancement.
5. Régler le verrouillage automatique sur 30 secondes ou 1 minute
Où : Réglages, puis Affichage et luminosité, puis Verrouillage automatique.
Pourquoi : une fenêtre de verrouillage automatique plus courte réduit le temps pendant lequel votre téléphone est déverrouillé sans surveillance. Si vous posez votre téléphone sur une table et vous éloignez, un verrouillage automatique de 30 secondes signifie que la fenêtre pour qu'un tiers accède à votre appareil déverrouillé est d'une demi-minute. À 5 minutes (réglage par défaut courant), c'est une éternité. Le compromis en termes de commodité est minime car Face ID rend le déverrouillage instantané.
Paramètres de confidentialité (éléments 6–9)
Ces paramètres contrôlent les données que les applications et Apple lui-même peuvent collecter sur votre appareil. Ils ne préviennent pas directement les piratages, mais réduisent les données disponibles pour le profilage, l'ingénierie sociale et les attaques ciblées.
6. Transparence du suivi des apps — refuser tout suivi
Où : Réglages, puis Confidentialité et sécurité, puis Suivi. Désactivez « Autoriser les demandes de suivi » pour refuser silencieusement toutes les demandes de suivi — les apps ne vous afficheront même pas l'invite.
Pourquoi : lorsque cette option est activée, les apps qui tentent d'accéder à votre IDFA (Identifiant pour les annonceurs) pour le suivi entre apps sont automatiquement refusées. Cela n'arrête pas tout le suivi — les apps peuvent encore utiliser l'empreinte numérique et l'attribution côté serveur — mais cela supprime l'identifiant fiable entre apps sur lequel reposait le secteur publicitaire. Désactiver complètement (tout refuser) plutôt que « Demander » (qui affiche une invite par app) est plus simple et garantit que vous ne tapez jamais accidentellement sur « Autoriser ».
7. Auditer les services de localisation
Où : Réglages, puis Confidentialité et sécurité, puis Services de localisation. Passez en revue chaque app dans la liste.
Que faire : pour chaque app, choisissez l'accès minimal dont elle a besoin. La plupart des apps devraient être réglées sur « Lors de l'utilisation de l'app » ou « Jamais ». Très peu d'apps ont légitimement besoin de « Toujours » — la navigation (Google Maps, Waze), les trackers de fitness et Localiser mon iPhone sont les principales exceptions. Faites défiler vers le bas et appuyez sur « Services système » — désactivez « Analyse iPhone », « Itinéraire et trafic », « Améliorer Plans » et « Lieux importants » (qui enregistre tous les endroits que vous visitez fréquemment). Conservez « Localiser mon iPhone », « Appels d'urgence et SOS » et « Réglage du fuseau horaire » activés.
Pourquoi : les données de localisation sont extraordinairement sensibles. Elles révèlent où vous habitez, travaillez, priez, qui vous rendez visite, si vous êtes allé chez un médecin ou un avocat, et vos habitudes quotidiennes. Les apps avec un accès « Toujours » à la localisation peuvent vous suivre en continu et vendre ces données à des courtiers en données. Restreindre à « Lors de l'utilisation » signifie que l'app ne reçoit votre position que lorsque vous l'utilisez activement.
8. Désactiver le partage des données analytiques et publicitaires
Où : Réglages, puis Confidentialité et sécurité, puis Analyse et améliorations. Désactivez chaque option : « Partager les analyses iPhone », « Améliorer Siri et Dictée », « Partager les analyses iCloud » et « Améliorer les fonctions vocales d'assistance ». Puis rendez-vous dans Réglages, puis Confidentialité et sécurité, puis Publicité Apple, et désactivez « Publicités personnalisées ».
Pourquoi : ces options contrôlent si Apple reçoit des données de diagnostic et d'utilisation de votre appareil. Bien que les pratiques de confidentialité d'Apple soient meilleures que la plupart, le choix qui maximise la confidentialité est de ne rien partager. Désactiver « Publicités personnalisées » signifie que le propre réseau publicitaire d'Apple (dans l'App Store et Apple News) n'utilisera pas vos données pour le ciblage publicitaire. Aucune de ces options n'affecte les fonctionnalités de votre téléphone.
9. Vérifier les autorisations sensibles (caméra, microphone, contacts, photos)
Où : Réglages, puis Confidentialité et sécurité. Appuyez sur chaque catégorie : Caméra, Microphone, Contacts, Photos, Calendriers, Rappels, Bluetooth et Réseau local.
Que faire : pour chaque autorisation, demandez-vous : « Cette app a-t-elle besoin de cela pour faire ce que je lui demande ? » Une app de réseau social peut raisonnablement avoir besoin d'accéder à la caméra pour publier des photos. Une app météo n'a pas besoin de vos contacts. Pour les Photos, utilisez « Photos sélectionnées » (disponible depuis iOS 16) plutôt que « Accès complet » dès que possible — cela vous permet d'accorder l'accès à des photos spécifiques sans exposer toute votre bibliothèque. Révoquez tout ce qui n'a pas de sens. Portez une attention particulière à « Réseau local » — de nombreuses apps le demandent pour découvrir des appareils sur votre WiFi, mais cela leur permet aussi d'identifier votre réseau domestique. Refusez-le sauf si l'app contrôle des appareils connectés ou a besoin de la découverte réseau locale.
Sécurité iCloud (éléments 10–12)
iCloud contient vos sauvegardes, photos, messages, mots de passe, données de santé et bien plus. Le sécuriser est aussi important que de sécuriser le téléphone lui-même — car les données iCloud sont accessibles depuis n'importe quel appareil avec vos identifiants Apple.
10. Activer la Protection avancée des données pour iCloud
Où : Réglages, puis votre nom, puis iCloud, puis Protection avancée des données. Suivez le processus de configuration.
Pourquoi : par défaut, Apple détient les clés de chiffrement pour la plupart de vos données iCloud — ce qui signifie qu'Apple peut les déchiffrer si une demande légale est présentée, et qu'elles pourraient être exposées en cas de violation de l'infrastructure d'Apple. La Protection avancée des données active le chiffrement de bout en bout pour la sauvegarde iCloud, les Photos, les Notes, les Rappels, les Mémos vocaux, les Signets Safari, les Raccourcis Siri, les Passes Wallet et bien plus. Avec la PAD activée, seuls vos appareils détiennent les clés de déchiffrement — pas même Apple ne peut lire les données. C'est le paramètre de sécurité iCloud le plus important. Le compromis : si vous perdez tous vos appareils de confiance et votre clé de récupération, Apple ne peut pas vous aider à récupérer vos données. C'est pourquoi l'élément 12 (contacts de récupération) est associé à celui-ci.
Ce qui n'est toujours pas couvert : iCloud Mail, Contacts et Calendriers ne sont pas chiffrés de bout en bout même avec la PAD, car ils doivent interopérer avec des protocoles de messagerie/calendrier non Apple. Le guide de sécurité officiel d'Apple documente précisément les catégories de données couvertes.
11. Vérifier que Localiser mon iPhone est activé
Où : Réglages, puis votre nom, puis Localiser, puis Localiser mon iPhone. Assurez-vous que « Localiser mon iPhone », « Réseau de Localiser » et « Envoyer la dernière position » sont tous activés.
Pourquoi : si votre téléphone est perdu ou volé, Localiser mon iPhone vous permet de le localiser, de faire sonner une alerte, de le marquer comme perdu (ce qui le verrouille et affiche un message), ou de l'effacer à distance. « Envoyer la dernière position » envoie automatiquement la position du téléphone à Apple lorsque la batterie atteint un niveau critique — vous disposez ainsi d'une dernière position connue même si la batterie est épuisée. L'option « Réseau de Localiser » utilise des signaux Bluetooth des appareils Apple à proximité pour localiser votre téléphone même hors ligne. Ces fonctionnalités ont permis de récupérer des milliers de téléphones volés et, surtout, la fonction d'effacement à distance protège vos données si le téléphone est irrécupérable.
12. Configurer des contacts de récupération de compte et une clé de récupération
Où : Réglages, puis votre nom, puis Connexion et sécurité, puis Récupération du compte. Ajoutez au moins un contact de récupération (un membre de la famille ou un ami de confiance ayant un appareil Apple). Vous pouvez également générer une clé de récupération.
Pourquoi : avec la Protection avancée des données activée, perdre l'accès à tous vos appareils de confiance signifierait perdre définitivement l'accès à vos données — sauf si vous disposez d'un moyen de récupération. Un contact de récupération peut confirmer votre identité si vous devez récupérer l'accès. Une clé de récupération est un code de 28 caractères stocké hors ligne (imprimé, pas dans une note sur votre téléphone) qui peut déverrouiller votre compte en dernier recours. Configurez au moins un contact de récupération ; la clé de récupération est une sécurité supplémentaire si vous souhaitez un filet de sécurité supplémentaire.
Protection réseau (éléments 13–15)
Votre téléphone est constamment connecté à des réseaux — cellulaire, WiFi, parfois les deux. La protection au niveau du réseau garantit que la connexion elle-même ne devient pas un vecteur d'attaque.
13. Utiliser un VPN ou un service de filtrage DNS
Où : installez une app de filtre basée sur un VPN (Casper's Cloak, AdGuard, ou configurez NextDNS) depuis l'App Store. Activez le profil VPN lorsque vous y êtes invité.
Pourquoi : un filtre DNS basé sur un VPN remplit deux fonctions. Premièrement, il chiffre votre trafic — ainsi les réseaux WiFi publics, les FAI et les opérateurs réseau ne peuvent pas observer ni injecter quoi que ce soit. Deuxièmement, il bloque les connexions vers des domaines malveillants connus (sites de phishing, serveurs de commande et contrôle de maliciels, traqueurs publicitaires) au niveau DNS avant même que votre téléphone ne charge le contenu. Il s'agit d'une couche de défense externe qui fonctionne sur toutes les apps — c'est l'équivalent réseau des restrictions d'autorisation que vous avez définies ci-dessus. Casper's Cloak ajoute une détection des menaces par IA qui intercepte les domaines de phishing zero-day qui ne figurent pas encore sur les listes de blocage, ainsi qu'un blocage des traqueurs couvrant des dizaines de milliers de points de terminaison de traqueurs connus.
14. Désactiver la connexion automatique aux réseaux WiFi inconnus
Où : Réglages, puis Wi-Fi, puis « Demander à rejoindre les réseaux » — réglez sur « Demander » ou « Désactivé ». Également : pour tout réseau public enregistré (cafés, aéroports, hôtels), appuyez sur l'icône d'information et désactivez « Connexion automatique ».
Pourquoi : votre iPhone mémorise les réseaux WiFi auxquels il s'est connecté et se reconnecte automatiquement lorsqu'il les détecte. Les attaquants exploitent cela avec des points d'accès jumeaux malveillants — un hotspot pirate nommé « Starbucks WiFi » ou « Airport Free WiFi » auquel votre téléphone se connecte automatiquement car il a déjà rejoint un réseau portant ce nom. Une fois connecté, l'attaquant contrôle votre DNS, peut afficher des pages de phishing via des portails captifs et observer le trafic non chiffré. Désactiver la connexion automatique pour les réseaux publics vous oblige à choisir consciemment les réseaux auxquels vous vous connectez.
15. Activer iCloud Private Relay (abonnés iCloud+)
Où : Réglages, puis votre nom, puis iCloud, puis Relais privé. Activez-le.
Pourquoi : Private Relay achemine le trafic Safari via une architecture de relais double saut (Apple voit votre IP mais pas votre destination ; un relais tiers voit votre destination mais pas votre IP). Cela empêche les sites web de voir votre adresse IP réelle dans Safari, qui est un puissant signal de suivi. Cela s'applique uniquement à Safari — pas aux autres navigateurs, pas aux apps. Si vous utilisez déjà un VPN (élément 13), celui-ci couvre la fonction de masquage d'IP pour tout le trafic ; Private Relay ajoute une séparation par double saut spécifique à Safari même lorsque le VPN est actif, bien que les deux puissent interagir différemment selon la configuration de votre fournisseur VPN.
Hygiène des apps (éléments 16–18)
Chaque app sur votre téléphone est une surface d'attaque potentielle. Réduire le nombre d'apps installées et les maintenir à jour minimise cette surface.
16. Passer en revue les apps installées et supprimer celles inutilisées
Où : Réglages, puis Général, puis Stockage iPhone. Cette liste affiche chaque app triée par taille, avec la date de dernière utilisation.
Que faire : faites défiler et supprimez toute app que vous n'avez pas utilisée depuis plus de 3 mois. Chaque app installée peut accéder aux autorisations que vous lui avez accordées, peut contenir des vulnérabilités exploitées avant d'être corrigées, et exécute des processus en arrière-plan qui peuvent être utilisés pour le suivi. Moins d'apps signifie moins de vecteurs d'attaque potentiels. Si vous avez à nouveau besoin d'une app, vous pouvez toujours la re-télécharger depuis l'App Store.
17. Vérifier les profils de configuration inconnus
Où : Réglages, puis Général, puis VPN et gestion de l'appareil. Si cet élément de menu n'apparaît pas, vous n'avez aucun profil installé (ce qui est normal).
Pourquoi : les profils de configuration peuvent modifier des paramètres système profonds — installer des certificats racines, modifier le DNS, configurer un VPN ou installer des apps en dehors de l'App Store. Les usages légitimes incluent la gestion d'appareils d'entreprise (MDM), les paramètres des opérateurs et certaines apps VPN/DNS. Si vous voyez un profil que vous ne reconnaissez pas et que vous n'avez pas installé, c'est un signe d'alarme sérieux. Les logiciels espions et certains maliciels utilisent des profils de configuration pour s'établir durablement sur iOS. Si vous en trouvez un que vous ne pouvez pas identifier, supprimez-le immédiatement.
18. Activer les mises à jour automatiques des apps et du système
Où : pour le système : Réglages, puis Général, puis Mise à jour logicielle, puis Mises à jour automatiques — activez toutes les options (Télécharger les mises à jour iOS, Installer les mises à jour iOS, Réponses de sécurité et fichiers système). Pour les apps : Réglages, puis App Store, puis activez « Mises à jour des apps ».
Pourquoi : la majorité des exploits réussis en 2026 ciblent des vulnérabilités qui ont déjà été corrigées. Les mises à jour automatiques garantissent que vous recevez les correctifs de sécurité dès leur disponibilité, réduisant la fenêtre entre la publication d'un correctif par Apple et son installation. Les réponses de sécurité rapides — des correctifs plus petits déployés entre les versions complètes du système — sont particulièrement critiques car elles traitent des vulnérabilités activement exploitées. Avec les trois options activées, votre téléphone reste à jour sans que vous ayez à y penser.
À quelle fréquence revérifier cette liste
La plupart de ces paramètres se configurent une fois pour toutes. Mais trois catégories nécessitent une révision périodique :
- Autorisations des apps (éléments 7 et 9) : révisez trimestriellement. Les nouvelles apps que vous installez obtiennent des autorisations ; les apps que vous possédez déjà peuvent en demander de supplémentaires après des mises à jour. Une révision trimestrielle de 5 minutes détecte la dérive des autorisations.
- Apps installées (élément 16) : révisez trimestriellement. Supprimez les apps que vous avez arrêté d'utiliser. Moins d'apps, surface d'attaque réduite.
- Mots de passe (pas sur cette liste, mais connexe) : vérifiez Réglages, puis Mots de passe, puis Recommandations de sécurité après toute violation de données importante dont vous entendez parler. iCloud Trousseau vous alerte en cas d'identifiants compromis — corrigez-les immédiatement lorsque signalés.
Le reste — code, authentification à deux facteurs, Protection avancée des données, mises à jour automatiques — reste configuré une fois pour toutes. Si Apple modifie un réglage par défaut dans une version majeure d'iOS, il le met généralement en avant lors du processus de mise à jour. Nous mettrons à jour cette liste de contrôle lors de la sortie d'iOS 20 si de nouveaux paramètres importants apparaissent.
En conclusion
Les iPhones disposent d'une sécurité par défaut solide, mais la différence entre les paramètres par défaut et un appareil renforcé est significative. Les 18 éléments de cette liste de contrôle — hiérarchisés et classés par impact — prennent environ 30 minutes à parcourir. Les cinq premiers (authentification) représentent l'essentiel de la valeur sécuritaire. La Protection avancée des données (élément 10) est la mise à niveau de sécurité iCloud la plus importante que la plupart des gens n'ont pas encore activée. La protection au niveau du réseau (élément 13) ajoute une couche de défense externe qui fonctionne sur toutes les apps. Et les audits réguliers des autorisations (éléments 7, 9, 16) préviennent l'accumulation progressive d'accès aux données inutiles que les apps demandent silencieusement au fil du temps.
Mettez cette page en favori et revenez-y trimestriellement pour les révisions des autorisations et des apps. Transmettez-la aux membres de votre famille qui vous demandent de l'aide technique — les instructions sont suffisamment précises pour que n'importe qui puisse les suivre sans explication supplémentaire.