← Retour au blog
·8 min read

Chiffrement de photos sur iPhone : ce que ça veut dire concrètement

iOS chiffre vos photos par défaut — mais cette protection disparaît au déverrouillage. Ce que le chiffrement iPhone couvre et pourquoi CryptoKit change la donne.

TL;DR

Votre iPhone chiffre chaque fichier sur le disque. Mais la classe de protection par défaut rend les fichiers accessibles dès que l'appareil est déverrouillé — c'est-à-dire la plupart du temps. Le chiffrement applicatif avec une clé séparée est le seul moyen de garder les photos protégées sur un appareil déverrouillé. Comprendre la différence entre le chiffrement de l'OS et celui de l'app est la clé pour comprendre ce que « chiffré » signifie vraiment sur votre téléphone.

« Chiffré » est l'un des mots les plus galvaudés du marketing des apps. Chaque app coffre-fort le revendique. Chaque service cloud le mentionne. Apple dit que votre iPhone est chiffré. Toutes ces affirmations sont techniquement vraies — et chacune signifie quelque chose de différent.

Le chiffrement iOS : solide, mais conditionnel

Chaque iPhone moderne utilise un chiffrement matériel. Les fichiers sont chiffrés sur la puce de stockage flash avec des clés dérivées du code de l'appareil et des clés matérielles gravées dans le processeur Secure Enclave. Le guide de sécurité de la plateforme d'Apple décrit ce système en détail.

iOS définit quatre classes de protection des données, chacune déterminant quand les fichiers peuvent être déchiffrés :

NSFileProtectionComplete

Les fichiers sont chiffrés et complètement inaccessibles quand l'appareil est verrouillé. La clé de déchiffrement est purgée de la mémoire quand on verrouille l'écran. C'est le niveau de protection le plus fort — mais très peu d'apps l'utilisent car cela signifie que l'app ne peut rien faire en arrière-plan tant que le téléphone est verrouillé.

NSFileProtectionCompleteUnlessOpen

Les fichiers sont chiffrés quand l'appareil est verrouillé, mais les fichiers déjà ouverts restent accessibles. Utilisé par les apps qui doivent finir d'écrire un fichier après le verrouillage.

NSFileProtectionCompleteUntilFirstUserAuthentication

C'est la valeur par défaut pour la plupart des apps. Les fichiers sont chiffrés sur le disque mais deviennent accessibles après le premier déverrouillage et le restent jusqu'au redémarrage de l'appareil. En pratique, cela signifie que les fichiers sont déchiffrés en mémoire tant que le téléphone est allumé et a été déverrouillé au moins une fois.

C'est la classe de protection utilisée par l'app Photos.

NSFileProtectionNone

Les fichiers sont chiffrés avec des clés liées à l'appareil mais accessibles à tout moment, même avant le premier déverrouillage après un redémarrage. Le moins protecteur.

L'app Photos utilise NSFileProtectionCompleteUntilFirstUserAuthentication. En clair : vos photos sont chiffrées sur le disque, mais accessibles en mémoire à partir du moment où vous déverrouillez votre téléphone le matin jusqu'au redémarrage. Un téléphone volé qui n'a pas été redémarré a vos photos accessibles.

Ce que le « chiffrement au repos » protège vraiment

Le chiffrement de fichiers iOS protège contre un scénario spécifique : quelqu'un qui extrairait la puce de stockage flash de l'appareil pour essayer de lire les données brutes. Sans les clés matérielles du Secure Enclave, les données chiffrées sont illisibles.

C'est une protection véritablement solide contre les attaques matérielles. C'est pourquoi les forces de l'ordre ne peuvent parfois pas accéder aux iPhones verrouillés — le chiffrement est réel. L'analyse forensique d'Elcomsoft détaille les défis d'accès aux données sur les appareils verrouillés.

Mais le chiffrement au repos ne protège pas contre :

  • Quelqu'un avec votre code : tout se déchiffre.
  • Les apps avec accès photo : toute app avec l'Accès complet à votre photothèque peut lire toutes vos photos tant que l'appareil est déverrouillé.
  • Un téléphone allumé et déverrouillé : la classe de protection par défaut laisse les fichiers accessibles en mémoire.
  • Les sauvegardes iCloud : les photos synchronisées vers iCloud sont chiffrées avec des clés qu'Apple détient (sauf si la PAD est activée).

Le problème du « chiffrement de niveau militaire »

« Chiffrement de niveau militaire » fait généralement référence à AES-256, le standard utilisé par le gouvernement américain. C'est un vrai algorithme, authentiquement solide. Le problème est que l'expression ne dit rien sur l'implémentation.

AES-256 sécurisant des données sur un serveur où l'entreprise détient les clés est techniquement du « chiffrement de niveau militaire ». C'est aussi dénué de sens du point de vue de la confidentialité — l'entreprise peut déchiffrer vos données à tout moment.

Les questions qui comptent vraiment :

  1. Qui détient la clé de déchiffrement ? Si la réponse est « le développeur de l'app » ou « le fournisseur cloud », vos données leur sont accessibles quel que soit l'algorithme utilisé.
  2. Quand les fichiers sont-ils déchiffrés ? Si les fichiers sont en forme déchiffrée en mémoire dès que l'appareil est déverrouillé, le chiffrement protège contre l'extraction matérielle et rien d'autre.
  3. Chaque fichier est-il chiffré individuellement ? Ou y a-t-il une seule clé qui déverrouille tout ? Le chiffrement par fichier limite le rayon d'impact d'une compromission de clé.
  4. Comment la clé est-elle dérivée ? Une clé dérivée d'un PIN à 4 chiffres a 10 000 possibilités. Une clé dérivée d'un PIN alphanumérique de 6 caractères avec PBKDF2 et 100 000 itérations est exponentiellement plus difficile à forcer.

« Chiffrement de niveau militaire » vous dit l'algorithme. Ça ne vous dit rien sur la gestion des clés, l'implémentation, ni qui peut réellement déchiffrer vos données. L'algorithme est la partie facile. La propriété de la clé est ce qui compte.

Le chiffrement applicatif : une approche différente

Le chiffrement applicatif fonctionne indépendamment de la protection de fichiers iOS. Au lieu de s'appuyer sur le code de l'appareil et les clés gérées par l'OS, l'app chiffre chaque fichier avec sa propre clé, dérivée d'un PIN ou d'une phrase de passe séparée.

Voici comment ça fonctionne dans une app coffre-fort bien conçue :

  1. L'utilisateur définit un PIN spécifique au coffre-fort (différent du code de l'appareil)
  2. Une clé cryptographique est dérivée de ce PIN via une fonction de dérivation comme PBKDF2 avec un nombre élevé d'itérations (100 000+), rendant le brute-force impraticable
  3. Chaque photo est chiffrée individuellement avec un algorithme de chiffrement authentifié comme ChaCha20-Poly1305
  4. La clé n'existe qu'en mémoire tant que le coffre-fort est ouvert. Quand il se verrouille, la clé est purgée. Les fichiers chiffrés sur le disque sont illisibles.

Ce qui signifie :

  • Appareil déverrouillé, coffre-fort verrouillé : les photos sont chiffrées. Inaccessibles.
  • Appareil déverrouillé, coffre-fort ouvert : les photos sont déchiffrées en mémoire, visibles dans l'app.
  • Appareil verrouillé : les photos sont chiffrées (par le coffre-fort ET par la protection de fichiers iOS).

La clé du coffre-fort est indépendante du code de l'appareil. Quelqu'un qui connaît le code de l'iPhone ne peut pas ouvrir le coffre-fort sans connaître aussi le PIN du coffre-fort.

L'analogie du coffre-fort physique

Imaginez votre iPhone comme un appartement. Le code de l'appareil est la clé de la porte d'entrée. Le chiffrement iOS au repos, ce sont des murs en acier — personne ne peut percer de l'extérieur.

Mais une fois que quelqu'un a la clé de la porte d'entrée, il est à l'intérieur. Chaque pièce est ouverte. Chaque tiroir, chaque album photo.

Un coffre-fort chiffré est un coffre physique à l'intérieur de l'appartement. Combinaison différente. Serrure différente. Même si quelqu'un a la clé de l'appartement, le contenu du coffre reste verrouillé. On peut voir que le coffre existe, mais son contenu est illisible sans la combinaison.

C'est la différence entre le chiffrement au niveau de l'OS et le chiffrement applicatif. L'un protège le bâtiment. L'autre protège ce qu'il contient.

Inner Gallery utilise le framework CryptoKit d'Apple — la même bibliothèque cryptographique qu'Apple intègre dans iOS. Chaque espace dans l'app a son propre PIN et sa propre clé de chiffrement. Les photos sont chiffrées individuellement avec ChaCha20-Poly1305 (RFC 8439).

Pas de serveurs. Pas de stockage cloud. Pas d'analytics. La clé de chiffrement ne quitte jamais l'appareil. Si le PIN du coffre-fort est oublié, les données sont irrécupérables — parce que personne d'autre n'a la clé. Comme expliqué dans Pourquoi Inner Gallery fonctionne sans serveur, cette architecture élimine le besoin de comptes, de serveurs, et des coûts récurrents qui vont avec.

Pour un guide pratique de configuration de la confidentialité photo sur iPhone, voir la Checklist confidentialité photos iPhone.

Le chiffrement iOS protège vos photos contre les attaques matérielles. Le chiffrement applicatif avec une clé séparée protège vos photos contre tout le reste — y compris quelqu'un avec le code de votre appareil. Si vous avez des photos qui valent la peine d'être chiffrées, la question à poser est : qui détient la clé ?

Inner Gallery arrive bientôt — rejoignez la liste d'attente.

Rejoins la liste d'attente