Confidentialité iPhone pour les voyageurs internationaux

TL;DR

Les voyageurs font face à deux menaces distinctes : un agent frontalier qui peut légalement demander à voir votre téléphone, et un voleur qui le dérobe dans une ville étrangère. AppVault répond aux deux. Le lanceur Calculatrice affiche une calculatrice iOS entièrement fonctionnelle quand quelqu'un d'autre tient l'appareil. Le coffre leurre ouvre un album mathématiquement indépendant avec un second motif. Les scans de passeport, pages de visa et certificats de vaccination sont protégés par AES-256-GCM avec une clé dérivée par 600 000 itérations PBKDF2 et encapsulée par l'Enclave sécurisée de l'iPhone. Aucun appel réseau. Aucun compte. Aucune récupération si vous oubliez le motif.

Les deux menaces auxquelles tout voyageur fait face

Le téléphone d’un voyageur contient plus de données sensibles qu’un classeur. Scans de passeport, pages de visa, certificats de vaccination, confirmations d’hôtel, photos de cartes bancaires, messages privés, historique de localisation — tout cela se trouve sur un appareil qui traverse des frontières, se retrouve entre les mains d’inconnus et parfois disparaît.

Les menaces ne sont pas abstraites. Elles se répartissent en deux catégories.

Le contrôle frontalier. Un agent demande à voir votre téléphone. Aux États-Unis, les douanes (CBP) agissent sous l’exception de contrôle aux frontières du Quatrième Amendement — une doctrine qui autorise la fouille des appareils sans mandat à tout point d’entrée. La décision Riley c. California (2014) de la Cour suprême a imposé un mandat pour les fouilles consécutives à une arrestation, mais l’exception frontalière reste une catégorie distincte. La politique du CBP exige un « soupçon raisonnable » pour ce qu’elle appelle les fouilles « avancées » (brancher l’appareil sur du matériel externe, par exemple), mais une fouille de base — feuilleter les photos, messages et applications — n’est soumise à aucun seuil. D’autres pays fonctionnent selon des cadres similaires. Le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande autorisent tous les fouilles de téléphones aux frontières. Dans l’espace Schengen, le cadre juridique est uniforme mais l’application ne l’est pas. Un agent allemand suivra une liste de contrôle procédurale stricte. Un agent français pourra agir avec des pouvoirs de police plus larges. Un agent italien appliquera les règles de manière inégale. Une même frontière, trois expériences différentes.

L’appareil perdu ou volé. Un téléphone oublié dans un taxi à Istanbul. Un sac arraché à Barcelone. Un appareil dérobé dans une chambre d’hôtel à Bangkok. Le voleur n’a pas besoin de contourner iOS. Si le téléphone est déverrouillé — ou si le voleur devine le code — toutes les photos, messages et fichiers sont accessibles. La simple pellicule peut contenir des scans de passeport, des cartes d’embarquement et des captures d’écran de conversations sensibles.

AppVault répond aux deux menaces avec une architecture unique : un stockage chiffré invisible sans le motif, une calculatrice en façade pour le moment de la remise, et un leurre pour les situations où « je n’ai pas de coffre » n’est pas une réponse crédible.

Ce qu’il faut placer dans le coffre

Les voyageurs accumulent des documents qui, isolément, sont anodins, mais qui, ensemble, constituent un dossier dangereux. Une photo de la page d’identité d’un passeport. Un scan d’un tampon de visa. Un certificat de vaccination. Une photo du dos d’une carte de crédit « au cas où ». Une confirmation d’hôtel avec une adresse personnelle. Une capture d’écran d’une conversation privée.

Aucun de ces fichiers n’est sensible seul. Ensemble, ils forment un dossier complet.

AppVault stocke ces fichiers dans un catalogue chiffré scellé avec AES-256-GCM. Chaque fichier reçoit un nonce unique de 96 bits, ce qui signifie qu’aucun fichier ne partage le même flux de clé. Le chiffrement est NIST FIPS 197 avec le mode GCM spécifié dans NIST SP 800-38D. La clé de chiffrement est dérivée du motif 5×5 de l’utilisateur via PBKDF2-SHA256 à 600 000 itérations — la recommandation OWASP 2026 — avec un sel de 128 bits par installation. Cette clé dérivée est ensuite encapsulée par une clé générée dans l’Enclave sécurisée de l’iPhone, un module de sécurité matérielle qui n’expose jamais la clé au processeur principal ni à Apple.

Le catalogue lui-même est chiffré. Un attaquant ayant un accès brut au stockage du téléphone ne peut pas déterminer combien de fichiers existent, leurs noms ou quand ils ont été ajoutés. Le coffre n’est pas un dossier. C’est un conteneur scellé.

Le lanceur Calculatrice : conçu pour le moment de la remise

Le moment le plus vulnérable pour le téléphone d’un voyageur est celui où quelqu’un d’autre le tient. Un agent frontalier. Un policier. Un collègue qui demande à voir une photo et qui glisse trop loin.

Le lanceur Calculatrice d’AppVault répond à cela en affichant une calculatrice iOS entièrement fonctionnelle lorsque l’application est ouverte. L’icône indique « Calculatrice ». Le nom de l’application indique « Calculatrice ». L’interface est une calculatrice. Elle additionne, soustrait, multiplie et divise. Elle satisfait la directive 4.3 d’Apple (icônes alternatives) car ce n’est pas une fausse calculatrice — c’en est une vraie.

L’écran de déverrouillage du coffre n’apparaît qu’après un appui long sur la touche égal. Aucun autre geste ne le déclenche. Aucune notification ne le révèle. Pour quiconque parcourt l’écran d’accueil ou ouvre l’application, c’est une calculatrice.

Ce n’est pas un truc. C’est un choix de conception qui reconnaît une réalité : quand quelqu’un d’autre tient votre téléphone, le contenu sensible doit être invisible, pas seulement derrière un mot de passe.

Le coffre leurre : le déni plausible par les mathématiques

Une calculatrice qui cache un coffre est une première couche. Mais que se passe-t-il quand quelqu’un qui connaît les applications de coffre — ou à qui on a dit de les chercher — exige de voir ce qu’il y a dedans ?

Le coffre leurre d’AppVault fournit un second motif 5×5 qui ouvre un catalogue de coffre mathématiquement indépendant. Les deux coffres ne partagent aucune clé de chiffrement. Ils ne partagent aucun métadonnée de fichier. Ils ne partagent aucun lien visible. Le coffre leurre ressemble et se comporte exactement comme le coffre principal. Il a sa propre liste de fichiers, son propre stockage, son propre motif.

Si quelqu’un exige l’accès, vous fournissez le motif leurre. Le coffre leurre s’ouvre. Il contient des fichiers — peut-être des photos personnelles, peut-être rien d’incriminant. Le coffre principal reste scellé et indétectable. Il n’y a pas d’indicateur de « second coffre ». Il n’y a aucun moyen de prouver qu’un coffre principal existe.

Ce n’est pas une fonctionnalité pour échapper à la loi. C’est une fonctionnalité pour les voyageurs qui transportent des documents légitimes mais sensibles — documents juridiques, dossiers médicaux, sources journalistiques — et qui évoluent dans des juridictions où le statut légal des fouilles de téléphones est flou ou appliqué de manière inégale.

Hygiène de voyage : avant, pendant et après

Avant le voyage. Placez tous les fichiers sensibles dans le coffre. Scans de passeport, pages de visa, certificats de vaccination, photos de cartes bancaires, confirmations d’hôtel avec adresses personnelles. Supprimez les originaux de la pellicule. Vérifiez Messages pour les conversations sensibles et supprimez-les. Vérifiez vos e-mails pour les documents transférés et retirez-les. Si vous utilisez la sauvegarde iCloud chiffrée, activez-la avant le départ — les fichiers sont scellés avec une clé de sauvegarde distincte par appareil avant l’envoi, et Apple ne reçoit que du texte chiffré. Notez la phrase de récupération et conservez-la séparément du téléphone.

Sur place. Gardez le téléphone verrouillé quand vous ne l’utilisez pas. Utilisez un code fort — six chiffres minimum, alphanumérique de préférence. Activez Face ID ou Touch ID pour le confort, mais rappelez-vous que le déverrouillage biométrique peut être contraint dans certaines juridictions (les tribunaux américains ont jugé qu’un code est protégé par le Cinquième Amendement mais pas une empreinte digitale). Si un agent frontalier vous demande le téléphone, remettez-le. S’il vous demande d’ouvrir une application, ouvrez Calculatrice. S’il vous demande ce que fait Calculatrice, elle calcule.

Au retour. L’exception de contrôle aux frontières américaine s’applique aussi bien aux citoyens américains qu’aux non-citoyens. Les mêmes précautions s’appliquent pour le voyage de retour. Si vous avez acquis des documents sensibles pendant le voyage — reçus, documents, photos — placez-les dans le coffre avant l’atterrissage.

Ce contre quoi AppVault ne défend pas

L’honnêteté sur les limites est une fonctionnalité, pas une faiblesse.

AppVault ne protège pas contre un noyau iOS compromis. Si un attaquant parvient à exploiter une vulnérabilité zero-day, le chiffrement devient inutile — il lit les données après déchiffrement. AppVault ne protège pas contre la coercition physique. Si quelqu’un vous force à entrer le motif, le coffre s’ouvre. AppVault ne protège pas les données stockées en dehors du coffre. Les photos dans la pellicule, les messages dans Messages, les e-mails dans Mail sont hors de son périmètre. AppVault ne protège pas contre les sauvegardes iCloud de données qui n’ont jamais été placées dans le coffre. Si vous avez sauvegardé votre pellicule dans iCloud avant de déplacer des fichiers dans le coffre, les copies non chiffrées existent toujours sur les serveurs d’Apple.

La page modèle de menace détaille ces limites. Lisez-la avant de décider ce qu’il faut mettre dans le coffre et ce qu’il faut laisser ailleurs.

Comparaison avec les autres applications

La catégorie des coffres photo est encombrée. Keepsafe est le leader en nombre d’installations ; la comparaison complète est disponible sur la page dédiée. Vaultaire est le concurrent le plus proche dans le créneau du coffre-calculatrice ; son architecture diffère sur des points clés détaillés sur sa page de comparaison.

La plupart des applications de coffre photo financées par la publicité intègrent des SDK tiers qui envoient de la télémétrie d’utilisation hors de l’appareil. AppVault n’intègre aucun SDK tiers, n’effectue aucun appel réseau par défaut et déclare ne collecter aucune donnée sur l’étiquette de confidentialité. La page complète architecture zero-knowledge explique ce qu’AppVault ne peut pas savoir — parce qu’il ne le demande jamais.

En résumé

Le téléphone d’un voyageur est un passif. Il contient plus de données personnelles que la plupart des gens ne le pensent, et les cadres juridiques régissant qui peut accéder à ces données sont incohérents, dépendants de la juridiction et en constante évolution. AppVault ne résout pas le problème juridique. Il résout le problème technique : quand quelqu’un qui ne devrait pas voir vos données prend physiquement possession de votre téléphone, les données restent scellées.

La calculatrice en façade gère la remise. Le coffre leurre gère l’exigence. Le chiffrement gère le reste. Pas de serveurs. Pas de comptes. Pas de récupération si vous oubliez le motif. Ce dernier point n’est pas un bug. C’est l’essence même du système.