Comment cacher des photos sur iPhone — chaque méthode, évaluée honnêtement

TL;DR

L’album masqué intégré de l’iPhone retire les photos de la vue principale de la bibliothèque mais les laisse visibles dans un album « Masqué » que n’importe qui peut ouvrir. Le dossier verrouillé d’iOS 16+ ajoute une protection Face ID mais montre toujours l’existence du dossier. Les applications coffre-fort dédiées comme AppVault chiffrent les fichiers avec AES-256-GCM, dérivent les clés via PBKDF2 avec 600 000 itérations et peuvent déguiser l’application elle-même en calculatrice — rien de tout cela n’est offert par les outils natifs. La bonne méthode dépend de contre qui vous vous protégez.

L’album masqué intégré : ce qu’il fait vraiment

Apple a ajouté l’album masqué à iOS comme une fonction de commodité. Il retire les photos et vidéos sélectionnées de la vue principale de la bibliothèque — l’onglet Photos, l’onglet Pour vous et les Souvenirs. Les fichiers sont déplacés vers un album dédié situé sous Albums → Utilitaires → Masqué.

C’est tout le mécanisme. Pas de mot de passe. Pas de barrière biométrique. Pas de changement de chiffrement. Les fichiers se trouvent dans le même conteneur non chiffré que toutes les autres photos de l’appareil, indexés par la même base de données, visibles pour quiconque navigue jusqu’au bon écran.

Apple a ajouté une bascule dans iOS 14 qui permet de masquer l’affichage de l’album masqué lui‑même. Allez dans Réglages → Photos et désactivez « Album masqué ». L’album disparaît de la section Utilitaires. Mais les photos sont toujours indexées. Elles apparaissent toujours dans les résultats de recherche. Elles remontent toujours dans les suggestions Siri. La bascule est un changement d’interface, pas un contrôle de sécurité.

Quand l’album masqué suffit : Vous voulez empêcher des mains curieuses — un ami qui fait défiler votre pellicule, un enfant qui tapote — de tomber sur des images spécifiques. L’album masqué retire les photos du flux de navigation par défaut. Pour cet usage restreint, il fonctionne.

Quand il ne suffit pas : Quiconque ouvre l’application Photos avec une intention précise peut trouver l’album masqué en moins de cinq secondes. Aucune étape d’authentification n’est requise. Si votre modèle de menace inclut une personne qui sait ce qu’elle cherche, l’album masqué n’est pas une barrière.

Le dossier verrouillé (iOS 16 et versions ultérieures)

iOS 16 a introduit le dossier verrouillé, qui ajoute une protection Face ID ou Touch ID aux photos masquées. Lorsque vous déplacez des photos dans le dossier verrouillé, l’application Photos nécessite une authentification biométrique avant de les afficher.

C’est un progrès significatif par rapport à l’album masqué. Une personne qui fait défiler votre téléphone ne peut pas ouvrir le dossier verrouillé sans votre visage ou votre empreinte. Les fichiers sont également exclus de la synchronisation iCloud Photos — ils restent uniquement sur l’appareil.

Mais le dossier verrouillé a ses propres limites. Le dossier lui‑même est visible dans l’application Photos. Un observateur peut voir qu’un dossier verrouillé existe et en déduire qu’il contient du contenu que vous avez choisi de protéger. Le dossier affiche une icône de cadenas et un libellé. Il annonce sa propre existence.

Le dossier verrouillé ne chiffre pas non plus les fichiers séparément du reste du système de protection des données d’iOS. Lorsque l’appareil est verrouillé, tous les fichiers sont protégés par le chiffrement matériel lié à votre code. Lorsque l’appareil est déverrouillé, le dossier verrouillé ajoute une barrière biométrique — mais le stockage sous‑jacent est le même volume APFS chiffré qui protège tout le reste du téléphone.

Quand le dossier verrouillé suffit : Vous voulez une protection biométrique contre une personne qui a votre téléphone déverrouillé en main. Un collègue, un membre de la famille, un ami — quelqu’un qui peut interagir physiquement avec l’appareil mais ne peut pas s’authentifier comme vous.

Quand il ne suffit pas : Le dossier verrouillé ne cache pas le fait que du contenu masqué existe. Il ne protège pas contre une personne qui connaît votre code d’appareil (car le code peut outrepasser Face ID). Il ne chiffre pas les fichiers avec une clé séparée. Et il n’aide pas si vous avez besoin que l’application coffre-fort elle‑même soit invisible.

Là où les outils natifs échouent

Le problème central des deux options natives d’Apple est architectural. L’application Photos est une application unique avec un seul magasin de données. Masquer une photo signifie changer un drapeau dans une ligne de base de données. Le fichier reste dans le même répertoire, sur la même mémoire flash, référencé par le même index.

Cela a des conséquences concrètes :

Recherche et Siri. Même avec la bascule de l’album masqué désactivée, les photos peuvent apparaître dans la recherche Spotlight, les suggestions Siri et la barre de recherche de Photos. Le pipeline d’indexation d’Apple ne respecte pas entièrement le drapeau masqué.

Albums partagés et AirDrop. Les photos masquées peuvent toujours être sélectionnées pour AirDrop ou des albums partagés si l’utilisateur y accède via la recherche ou un lien partagé. Le mécanisme de masquage est un filtre d’affichage, pas un contrôle d’accès.

Sauvegardes. Les photos de l’album masqué et du dossier verrouillé sont incluses dans les sauvegardes iCloud et iTunes/Finder. Si quelqu’un accède à votre compte iCloud ou à un fichier de sauvegarde local, les photos masquées sont là.

Supprimés récemment. Lorsque vous supprimez une photo — masquée ou non — elle se déplace dans le dossier « Supprimés récemment » et reste récupérable pendant 30 jours. L’album masqué ne modifie pas ce comportement.

Accès forensique. Les outils utilisés en criminalistique numérique lisent directement la mémoire flash ou extraient la base de données Photos. Un drapeau booléen dans une colonne SQLite n’arrête pas un expert forensique.

Pour les modèles de menace qui comptent — inspections douanières et aux frontières, iPad familial partagé, prêt de votre téléphone à quelqu’un, vente ou reprise d’un appareil — les outils natifs laissent des lacunes qu’une application coffre-fort dédiée est conçue pour combler.

Comment fonctionnent les applications coffre-fort dédiées

Une application coffre-fort adopte une approche fondamentalement différente. Au lieu de basculer un drapeau de visibilité dans l’application Photos, elle retire complètement les fichiers de la bibliothèque Photos et les stocke dans un conteneur chiffré que l’application contrôle.

Le flux de travail typique :

1. Importation. L’utilisateur sélectionne des photos ou vidéos depuis la bibliothèque Photos. L’application coffre-fort les copie dans son propre stockage en bac à sable.
2. Chiffrement. Chaque fichier est chiffré avec une clé symétrique dérivée de la phrase de passe ou du motif de l’utilisateur. Dans le cas d’AppVault, le chiffrement est AES-256-GCM avec un nonce unique de 96 bits par fichier, et la clé est dérivée via PBKDF2-SHA256 à 600 000 itérations avec un sel de 128 bits par installation.
3. Suppression des originaux. L’application supprime les fichiers originaux de la bibliothèque Photos, y compris du dossier « Supprimés récemment », afin qu’aucune trace ne subsiste dans la base de données native.
4. Stockage. Les fichiers chiffrés vivent dans le bac à sable de l’application. Le bac à sable iOS empêche les autres applications de lire les données. Le chiffrement empêche quiconque extrait le contenu du bac à sable de lire les fichiers sans la clé.

Résultat : les photos n’existent plus dans l’application Photos, ni dans la recherche, ni dans les suggestions Siri, ni dans les albums partagés, ni dans la pellicule. Elles n’existent que sous forme de texte chiffré à l’intérieur du conteneur de l’application coffre-fort.

Ce que le chiffrement signifie vraiment ici

La pile cryptographique d’AppVault est publiée intégralement sur la page chiffrement. La version courte :

• AES-256-GCM (Galois/Counter Mode) fournit un chiffrement authentifié. Chaque fichier reçoit un nonce unique de 96 bits, donc deux photos identiques produisent un texte chiffré complètement différent. L’algorithme est spécifié dans NIST FIPS 197 et NIST SP 800-38D.
• PBKDF2-SHA256 à 600 000 itérations convertit le motif de l’utilisateur en une clé cryptographique. Le nombre d’itérations suit la recommandation OWASP 2026 pour la dérivation de clé basée sur mot de passe. Un sel aléatoire de 128 bits, généré une fois à l’installation, garantit que deux appareils avec le même motif produisent des clés différentes.
• Enveloppement par le Secure Enclave. La sortie de PBKDF2 est enveloppée par une clé générée à l’intérieur du Secure Enclave de l’iPhone. La clé du Secure Enclave ne quitte jamais la puce. Sur les appareils dotés d’un Secure Enclave (iPhone 5s et ultérieurs), cela signifie que le matériel de clé est lié au matériel et ne peut pas être extrait par logiciel seul.

Ce n’est pas un langage marketing. Chacun de ces choix a une propriété de sécurité spécifique. Le nombre élevé d’itérations rend les attaques par force brute sur le motif coûteuses en calcul. Le nonce par fichier empêche l’analyse de motifs à travers les textes chiffrés. La liaison au Secure Enclave signifie que même si quelqu’un copie le conteneur chiffré sur un autre appareil, les fichiers ne peuvent pas être déchiffrés sans le matériel d’origine.

Le lanceur de calculatrice : cacher le cacheur

Le chiffrement protège les fichiers. Mais si l’application coffre-fort elle‑même est visible sur l’écran d’accueil, un observateur sait que du contenu masqué existe. L’icône de l’application est un signal.

Le Lanceur de calculatrice d’AppVault répond à ce problème en fournissant une calculatrice iOS entièrement fonctionnelle comme interface principale de l’application. L’utilisateur ouvre l’application, voit une calculatrice standard et peut effectuer des calculs normalement. Un appui long sur la touche « = » ouvre le coffre-fort chiffré.

Ce n’est pas une fausse calculatrice. C’est une vraie calculatrice qui se trouve également avoir un coffre-fort derrière un geste spécifique. La conception est faite pour satisfaire la directive 4.3 d’Apple (icônes alternatives) en offrant une fonctionnalité de calculatrice authentique.

Le lanceur de calculatrice modifie le modèle de menace. Une personne qui prend votre téléphone et voit une application de calculatrice sur l’écran d’accueil n’a aucune raison de soupçonner qu’elle contient des photos chiffrées. Un agent des douanes qui fait défiler les applications voit une calculatrice. Un ami qui emprunte votre téléphone voit une calculatrice.

Ce n’est pas l’invisibilité. Un examen forensique de l’identifiant de bundle et des droits de l’application révélerait sa vraie nature. Mais pour les scénarios pratiques que la plupart des gens rencontrent — une personne avec un accès physique et une intention décontractée — le lanceur de calculatrice élève la barrière de « ouvrir l’application coffre-fort évidente » à « comprendre que la calculatrice n’est pas une calculatrice ».

Le coffre-fort leurre : deux albums, un seul appareil

Certaines situations exigent plus qu’une application cachée. Si quelqu’un sait que vous utilisez une application coffre-fort et exige d’y accéder, un seul mot de passe crée un problème : le refus implique la culpabilité, et la conformité va à l’encontre du but.

Le Coffre-fort leurre d’AppVault fournit un second motif 5×5 qui ouvre un catalogue de coffre-fort séparé, mathématiquement indépendant. Le coffre-fort leurre est un espace chiffré entièrement fonctionnel. Il peut contenir ses propres photos, vidéos et fichiers. Les clés de chiffrement du coffre-fort leurre sont dérivées du motif leurre — elles sont sans rapport avec les clés du coffre-fort principal. Il n’y a aucun lien cryptographique entre les deux.

C’est utile dans des scénarios spécifiques : un iPad familial partagé où l’accès au coffre-fort d’une personne est attendu, un appareil utilisé par plusieurs personnes, ou toute situation où la dénégation plausible a une valeur pratique.

Le coffre-fort leurre n’est pas un bouclier magique. Il ne protège pas contre une analyse forensique qui examine tout le stockage de l’application. Il protège contre le scénario social où quelqu’un sait que le coffre-fort existe et veut voir ce qu’il contient.

Verrouillage par motif : pourquoi la grille compte

AppVault utilise un verrouillage par motif 5×5 au lieu d’un code PIN numérique ou d’un mot de passe alphanumérique. La grille fournit 25 nœuds, et le motif les relie en séquence. Le nombre total de motifs possibles est grand — significativement plus grand qu’un code PIN à 4 chiffres (10 000 combinaisons) et comparable à un code PIN à 6 chiffres, bien que le nombre exact dépende des contraintes de nœuds minimum et maximum.

Le motif n’est pas la clé de chiffrement. Le motif est l’entrée de PBKDF2, qui l’étire en une clé de 256 bits. La sécurité vient de la fonction de dérivation de clé, pas du motif lui‑même. Un code PIN à 4 chiffres passé dans PBKDF2 à 600 000 itérations est également sécurisé contre la force brute — c’est le nombre d’itérations qui rend chaque tentative coûteuse.

Le verrouillage par motif est un choix d’utilisabilité. La plupart des gens se souviennent plus facilement d’une forme géométrique que d’une chaîne aléatoire. La grille 5×5 est familière depuis l’écran de verrouillage historique d’Android. Et la nature visuelle du motif le rend plus rapide à saisir qu’un mot de passe tapé sur un écran tactile.

Ce contre quoi les applications coffre-fort ne protègent pas

L’honnêteté sur les limites est plus utile que l’exagération. Voici ce contre quoi une application coffre-fort comme AppVault ne défend pas :

Attaques forensiques par chip-off. Un laboratoire qui dessoude la puce mémoire NAND et la lit directement peut extraire le conteneur chiffré. AES-256-GCM avec une clé forte rend le déchiffrement irréalisable, mais le texte chiffré est physiquement présent. Si la clé est faible (un motif simple, un faible nombre d’itérations), le chiffrement peut être cassé. Le PBKDF2 à 600 000 itérations et l’enveloppement par le Secure Enclave d’AppVault augmentent considérablement le coût, mais aucune solution purement logicielle ne bat un laboratoire forensique bien financé.

Déchiffrement forcé. Dans certaines juridictions, les autorités peuvent légalement vous contraindre à fournir un mot de passe ou une donnée biométrique. Une application coffre-fort ne peut pas protéger contre une ordonnance judiciaire. Le coffre-fort leurre peut offrir une dénégation plausible dans des contextes informels, mais ce n’est pas un bouclier juridique.

Compromission du code de l’appareil. Si quelqu’un connaît votre code d’appareil, il peut déverrouiller le téléphone et tenter d’ouvrir l’application coffre-fort. Le motif du coffre-fort est un facteur d’authentification séparé, mais le code de l’appareil est la première ligne de défense. Un code d’appareil fort (alphanumérique, pas à 4 chiffres) reste essentiel.

Enregistrement d’écran et regard par‑dessus l’épaule. Une application coffre-fort ne peut pas empêcher quelqu’un de vous regarder saisir votre motif ou d’enregistrer l’écran pendant que vous parcourez des photos chiffrées. La sécurité physique — conscience de votre environnement, filtres de confidentialité d’écran — est une couche séparée.

Sauvegarde iCloud du conteneur coffre-fort. Si l’utilisateur opte pour la sauvegarde iCloud, le conteneur chiffré du coffre-fort est sauvegardé. Les fichiers restent chiffrés, et la clé de sauvegarde est séparée de la clé du coffre-fort. Mais le texte chiffré existe sur les serveurs d’Apple. Le chiffrement de sauvegarde d’AppVault utilise une clé par appareil qu’Apple ne détient pas, mais les métadonnées (sauvegarde existante, application installée) sont visibles.

La page complète du modèle de menace détaille ces scénarios avec plus de précision.

Comparer AppVault à la catégorie

La catégorie des coffres-fort calculatrice sur l’App Store comprend des dizaines d’applications. La plupart partagent un principe similaire — une icône déguisée, un verrouillage par motif ou code PIN, un stockage chiffré — mais la qualité d’implémentation varie énormément.

Keepsafe est le leader de la catégorie en nombre d’installations. Il propose une synchronisation cloud, un abonnement et une interface soignée. La comparaison détaillée fonction par fonction se trouve sur la page AppVault vs Keepsafe. L’architecture cloud de Keepsafe signifie que les fichiers transitent par les serveurs de Keepsafe, ce qui est un modèle de confiance fondamentalement différent d’une application locale uniquement.

Vaultaire est le concurrent le plus proche dans le créneau des coffres-fort calculatrice. Il utilise un déguisement en calculatrice et un stockage local. Les différences architecturales — dérivation de clé, mode de chiffrement, utilisation du Secure Enclave — sont détaillées sur la page AppVault vs Vaultaire.

La plupart des autres applications de coffre-fort calculatrice sur le store ne publient pas leur pile cryptographique. Sans nombres d’itérations, modes de chiffrement et détails de dérivation de clé publiés, il est impossible d’évaluer si le chiffrement est significatif ou décoratif. Une application qui revendique un « chiffrement de qualité militaire » mais exécute PBKDF2 à 1 000 itérations n’offre pas une protection significative.

AppVault publie sa pile complète avec des citations de sources primaires. Le chiffrement, le nombre d’itérations, la génération de sel et la liaison matérielle sont documentés sur la page chiffrement. C’est le standard minimum pour un produit qui demande aux utilisateurs de lui confier des fichiers privés.

Scénarios pratiques : quelle méthode utiliser

Inspections douanières et aux frontières. Un agent qui prend votre téléphone et fait défiler les applications et les photos. Le lanceur de calculatrice répond à ce besoin : l’application ressemble à une calculatrice. Les fichiers chiffrés ne sont pas dans l’application Photos. L’agent n’a aucune raison évidente de soupçonner un contenu masqué. C’est le scénario où une application coffre-fort avec une icône déguisée apporte le plus de valeur par rapport aux outils natifs.

iPad familial partagé. Plusieurs personnes utilisent le même appareil. Le dossier verrouillé offre une protection biométrique, mais le dossier est visible. Une application coffre-fort avec un motif séparé garde les fichiers hors de l’application Photos complètement. Le coffre-fort leurre ajoute une seconde couche si l’accès d’un membre de la famille est attendu.

Prêt de votre téléphone. Un ami prend une photo de groupe et fait défiler plus loin. L’album masqué retire les photos de la vue principale, mais un défilement déterminé peut l’atteindre. Une application coffre-fort retire complètement les fichiers de l’application Photos.

Vente ou reprise d’un iPhone. Avant une réinitialisation d’usine, déplacez les fichiers sensibles vers l’application coffre-fort, puis utilisez la fonction de suppression sécurisée de l’application. Après avoir supprimé l’application et effectué une réinitialisation d’usine, le conteneur chiffré est détruit. L’album masqué natif et le dossier « Supprimés récemment » sont effacés par la réinitialisation d’usine, mais une application coffre-fort vous donne un contrôle explicite sur le moment de la suppression.

Journalistes, avocats, professionnels de santé. Du travail privilégié qui ne devrait pas être accessible à quiconque a accès à l’appareil. Une application coffre-fort avec un chiffrement fort et aucune synchronisation cloud garde les fichiers locaux et chiffrés. L’architecture zéro connaissance — détaillée sur la page zéro connaissance — signifie que le développeur de l’application n’a aucun accès au contenu des fichiers ni aux métadonnées.

Comment configurer AppVault pour le masquage de photos

Le processus de configuration est conçu pour minimiser la fenêtre pendant laquelle les fichiers existent à la fois dans la bibliothèque Photos et dans le coffre-fort simultanément.

1. Installez AppVault depuis l’App Store. L’application apparaît comme une calculatrice sur l’écran d’accueil.
2. Définissez le motif principal. Choisissez un motif 5×5 dont vous pouvez vous souvenir. Ce motif dérive la clé de chiffrement de votre coffre-fort principal.
3. Définissez le motif leurre (facultatif). Il ouvre un catalogue de coffre-fort séparé avec ses propres clés de chiffrement.
4. Générez la phrase de récupération. AppVault crée une phrase de récupération écrite lors de la configuration. Stockez‑la dans un endroit physiquement séparé du téléphone. Si vous oubliez les deux motifs, c’est la seule façon de revenir.
5. Importez des photos. Ouvrez le coffre-fort, appuyez sur importer et sélectionnez des photos depuis la bibliothèque Photos. AppVault les chiffre et les stocke dans son bac à sable.
6. Supprimez les originaux. Après avoir confirmé que les photos sont visibles dans le coffre-fort, supprimez‑les de l’application Photos. Ensuite, ouvrez le dossier