Sécurité iPhone : pourquoi votre code à 4 chiffres ne suffit plus (et par quoi le remplacer dès maintenant)

Pourquoi le code à 4 chiffres a définitivement vécu #

Quand Apple a introduit le verrouillage par code numérique sur l’iPhone, le contexte technologique n’avait rien à voir avec celui d’aujourd’hui. À l’époque, un assaillant qui voulait forcer un appareil devait composer manuellement les combinaisons, et un délai s’allongeait après chaque erreur. Aujourd’hui, le marché des outils d’extraction forensique — Cellebrite, GrayKey, et leurs équivalents grand public revendus sur des forums — a transformé l’équation. Ces boîtiers se branchent en Lightning ou USB-C, exploitent des failles matérielles, et énumèrent les codes à une vitesse qu’aucun délai logiciel ne peut compenser.

Le calcul tient en une ligne : un code à 4 chiffres correspond à exactement 10 000 combinaisons possibles. Pour un outil dédié, c’est l’équivalent d’une seconde de travail. Six chiffres font passer ce nombre à un million, ce qui semble considérable, mais reste à portée d’un équipement professionnel. La vraie rupture intervient quand on bascule sur un code alphanumérique, où chaque caractère ajoute non plus un facteur 10, mais un facteur 95.

Le rapport de force chiffré entre vous et un attaquant #

Pour bien saisir l’ampleur du problème, il faut visualiser l’écart mathématique entre les différents formats de code. Le nombre de combinaisons croît de manière exponentielle, et chaque caractère ajouté représente une nouvelle classe de difficulté. Ce n’est pas une question de marge confortable, c’est une question d’ordre de grandeur — un peu comme la différence entre traverser un ruisseau et traverser l’Atlantique à la nage.

10 000

combinaisons 4 chiffres

1 M

combinaisons 6 chiffres

6,6 · 10¹⁵

alphanum 8 caractères

Combinaisons théoriques selon le type de code — chiffres indicatifs.

L’écart entre la deuxième et la troisième colonne fait toute la différence pratique. Là où un million de tentatives peut être épuisé par un équipement spécialisé en quelques jours, une combinaison alphanumérique à huit caractères se compte en millions de milliards — un horizon qui dépasse la durée de vie utile de l’appareil, même en supposant des avancées matérielles considérables.

Combien de temps pour casser chaque format ? Le tableau qui fait réfléchir #

Les estimations ci-dessous correspondent à des outils d’extraction forensique professionnels, dont l’usage est strictement réservé aux forces de l’ordre dans la plupart des juridictions — mais qui fuitent régulièrement sur le marché gris. Les temps indiqués supposent que l’attaquant a un accès physique direct à l’appareil. Pour un voleur opportuniste qui ne disposerait que d’un PC standard, multipliez les durées par plusieurs ordres de grandeur.

Format du code	Combinaisons	Brute-force pro	Robustesse
4 chiffres	10 000	Minutes	Très faible
6 chiffres	1 000 000	Heures à jours	Moyenne
Numérique perso	Variable (8-12 chiffres)	Semaines à années	Bonne
Alphanum 6 car.	≈ 735 milliards	Plusieurs années	Très bonne
Alphanum 8 car.	≈ 6,6 · 10¹⁵	Hors de portée	Forteresse

Estimations indicatives — varient selon le modèle d’iPhone et la version d’iOS.

Les quatre options proposées par iOS, classées par usage #

Apple n’expose pas immédiatement toutes les variantes possibles. L’écran de modification du code affiche par défaut le pavé numérique à six chiffres, et il faut explicitement appuyer sur Options pour découvrir les autres formats. C’est ce détail d’interface qui pousse 90 % des utilisateurs à rester sur le compromis le plus tiède — alors qu’un menu déroulant gratuit donne accès à des niveaux de protection bien supérieurs.

Code numérique 4 chiffres

À fuir absolument. Vestige des premiers iPhone, ne tient plus face aux outils modernes d’extraction.

Code numérique 6 chiffres

Le minimum syndical depuis iOS 9. Acceptable si vous n’êtes pas une cible spécifique, vulnérable sinon.

Code numérique personnalisé

Longueur libre tout en restant sur le pavé numérique. 8 à 10 chiffres = excellent compromis confort/sécurité.

Code alphanumérique

Lettres, chiffres, caractères spéciaux. Le standard pour qui transporte des données sensibles — au prix d’un déverrouillage légèrement plus long.

Le maillon faible n’est presque jamais le chiffrement de l’iPhone. C’est le code qui le déverrouille — et ce code, c’est vous qui le choisissez.

— Adage des chercheurs en sécurité mobile

La procédure exacte pour basculer en alphanumérique #

L’opération prend deux minutes, ne nécessite aucune réinstallation et ne touche absolument à rien d’autre sur votre appareil. Vos photos, vos applications, vos abonnements restent en place — seul le verrou de l’écran d’accueil change. Voici l’enchaînement précis, valable sur iOS 17 et 18, à quelques détails de libellé près.

Réglages › Face ID et code

Ouvrir l’app Réglages, descendre jusqu’à Face ID et code (ou Touch ID et code), saisir le code actuel.

Modifier le code

Toucher Modifier le code, saisir l’ancien, puis ne pas répondre tout de suite à la demande du nouveau.

Options › Code alphanumérique

Sur l’écran de saisie, appuyer sur Options. Choisir Code alphanumérique personnalisé pour activer le clavier complet.

Saisir un mot de passe robuste

Au minimum 8 caractères, idéalement une phrase courte mémorable, sans information personnelle évidente.

Face ID et Touch ID ne remplacent pas le code, ils le protègent #

L’erreur classique consiste à penser que la biométrie rend le code accessoire. C’est l’inverse. Chaque fois que l’iPhone redémarre, qu’il reste verrouillé plus de 48 heures, qu’il détecte une anomalie ou qu’il sort d’un appairage USB inconnu, il exige le code, jamais le visage ou l’empreinte. Le code est la fondation ; la biométrie n’est qu’une rampe d’accès quotidienne pour vous éviter de le taper cent fois par jour.

Cette architecture est volontaire. Apple veut que le secret réel — celui qui chiffre la mémoire — reste connu de vous seul, jamais photographié ni dérivé d’une empreinte. C’est aussi pour cela que la biométrie est désactivée temporairement après cinq tentatives ratées de Face ID, ou si vous maintenez les boutons latéraux quelques secondes pour activer le mode SOS. Dans ces moments-là, le code prend la relève — et s’il est faible, toute l’architecture s’effondre.

Configuration faible

Code à 4 chiffres souvent date de naissance
Face ID activé, code rarement saisi donc oublié
Pas de Stolen Device Protection
Sauvegardes iCloud standard, déchiffrables par Apple sur demande

✓

Configuration durcie

Code alphanumérique 8 caractères ou plus
Face ID quotidien, code testé chaque semaine
Stolen Device Protection activée
Advanced Data Protection iCloud activée

Les trois couches de protection que personne n’active #

Choisir un bon code est l’étape fondatrice, mais iOS propose depuis quelques versions un trio de fonctions qui complètent le dispositif. Aucune n’est activée par défaut, toutes sont gratuites, et elles transforment radicalement le profil de risque de l’appareil. Si vous ne deviez en activer qu’une, ce serait probablement Stolen Device Protection, mais l’idéal reste les trois ensemble.

Checklist sécurité avancée

A Stolen Device Protection — délai d’une heure et double Face ID pour toute action sensible hors lieux connus.

B Advanced Data Protection — chiffrement de bout en bout des sauvegardes iCloud, hors de portée d’Apple.

C Lockdown Mode — mode forteresse pour profils à risque (journalistes, dirigeants, activistes).

D Effacement après 10 échecs — option radicale qui fait fondre tout l’appareil après dix mauvais codes consécutifs.

E Désactivation Centre de contrôle verrouillé — empêche un voleur de couper le Wi-Fi/Bluetooth pour échapper à la localisation.

F Authentification à deux facteurs Apple ID — non négociable, à coupler avec une clé de récupération imprimée.

Stolen Device Protection : la fonction la plus sous-estimée d’iOS

Introduite avec iOS 17.3, cette protection part d’un constat troublant : la plupart des vols d’iPhone ne sont pas opportunistes mais ciblés. Le voleur observe la victime taper son code dans un bar, lui arrache l’appareil quelques minutes plus tard, et utilise ce code pour vider les comptes bancaires, voler l’Apple ID et revendre les données. Stolen Device Protection casse ce schéma en imposant un délai d’une heure et une double authentification biométrique pour toute action sensible — changement de mot de passe iCloud, modification du code, accès aux mots de passe — dès lors que l’appareil n’est pas dans un lieu habituel (domicile, travail).

Advanced Data Protection : le chiffrement intégral d’iCloud

Par défaut, vos sauvegardes iCloud ne sont pas chiffrées de bout en bout. Apple détient les clés et peut, en théorie, répondre à des injonctions judiciaires ou subir une intrusion massive. L’Advanced Data Protection bascule l’intégralité du compte iCloud en chiffrement de bout en bout : photos, notes, sauvegardes d’iMessage, fichiers Drive. Apple ne peut plus rien lire, vous non plus si vous perdez votre clé de récupération — d’où l’importance de l’imprimer et de la stocker hors ligne.

À faire et à éviter pour ne pas affaiblir un code par ailleurs solide #

Choisir un code alphanumérique long ne sert à rien si vous le tapez dans le métro à la vue d’un voisin ou si vous le notez dans un bloc-notes synchronisé en clair. La sécurité d’un iPhone tient autant à la qualité du verrou qu’aux pratiques quotidiennes qui l’entourent. Quelques règles de bon sens permettent d’éviter les pièges les plus courants, sans transformer votre rapport au téléphone en parcours du combattant.

✓ À faire

✓Choisir un code alphanumérique d’au moins 8 caractères
✓Activer Stolen Device Protection et Advanced Data Protection
✓Masquer la saisie du code en public — main au-dessus de l’écran
✓Utiliser Face ID au quotidien et garder le code en réserve mentale
✓Activer l’effacement après 10 échecs si l’appareil contient des données critiques

✕ À éviter

✕Date de naissance, code postal, année récente comme code
✕Réutiliser le code de la carte bancaire ou du coffre-fort
✕Noter le code dans Notes, Photos ou un e-mail à soi-même
✕Désactiver Face ID/Touch ID pour ne taper que le code visible
✕Laisser Centre de contrôle accessible écran verrouillé

Et après ? Vérifier sa configuration en cinq minutes #

Une fois le code modifié et les protections activées, prenez l’habitude de faire un audit rapide tous les six mois. Vérifiez que Face ID reconnaît bien votre visage, que la liste des appareils Apple ID ne contient que les vôtres, que la double authentification est active, et que la clé de récupération imprimée existe toujours quelque part. Cinq minutes par semestre suffisent à maintenir un niveau de protection que les courses-poursuites avec les outils forensiques ne peuvent pratiquement pas remettre en cause.

Le code à quatre chiffres n’a pas disparu d’iOS par bienveillance d’Apple envers la nostalgie : il reste pour la compatibilité, pour les utilisateurs réfractaires, et pour les enfants. Mais il ne devrait plus être le verrou d’un appareil adulte qui contient compte bancaire, identifiants pros et historique personnel. Le passage à un code robuste prend deux minutes ; le regret après un vol peut durer des années.

Questions fréquentes #

Un code alphanumérique va-t-il ralentir mon usage quotidien ? +

À peine. Avec Face ID ou Touch ID actifs, vous ne saisissez le code complet que quelques fois par semaine — après un redémarrage, après 48 h sans déverrouillage, ou en cas d’échec biométrique répété. Le reste du temps, c’est votre visage qui ouvre l’appareil.

Que se passe-t-il si j’oublie un code alphanumérique long ? +

L’iPhone se verrouille après plusieurs échecs et exige un effacement via votre Apple ID. Vous récupérez tout depuis votre sauvegarde iCloud — d’où l’importance d’avoir Advanced Data Protection activée et une clé de récupération imprimée et stockée hors ligne.

Mon iPhone est ancien (iPhone 8, SE), suis-je quand même concerné ? +

Encore plus, en réalité. Les iPhone plus anciens présentent davantage de vulnérabilités matérielles documentées, exploitées par les outils forensiques. Le code alphanumérique reste votre principale ligne de défense, même sur un modèle de 2017.

Stolen Device Protection ralentit-il l’usage quotidien ? +

Pas dans la majorité des cas. La fonction ne s’active que pour des actions sensibles (changement de mot de passe, accès aux clés enregistrées, désactivation de Localiser) et uniquement hors de vos lieux habituels. À la maison ou au bureau, vous ne sentez rien.

Faut-il activer l’effacement après 10 échecs ? +

Oui si l’appareil contient des données critiques (pros, médicales, financières) et que vous avez une sauvegarde iCloud à jour. Non si vous avez tendance à laisser l’iPhone à portée d’enfants curieux qui pourraient enchaîner les tentatives par jeu.

Source : iPhon.fr

Les points :

Pourquoi le code à 4 chiffres a définitivement vécu
Le rapport de force chiffré entre vous et un attaquant
Combien de temps pour casser chaque format ? Le tableau qui fait réfléchir
Les quatre options proposées par iOS, classées par usage
La procédure exacte pour basculer en alphanumérique
Face ID et Touch ID ne remplacent pas le code, ils le protègent
Les trois couches de protection que personne n’active
À faire et à éviter pour ne pas affaiblir un code par ailleurs solide
Et après ? Vérifier sa configuration en cinq minutes
Questions fréquentes