C’est un vendredi soir. Tu es au Siboire, dans Saint-Roch à Québec, ou au Dieu du Ciel dans le Plateau à Montréal. Tu déverrouilles ton iPhone pour payer la prochaine tournée. Quelqu’un derrière toi observe discrètement ton code — six chiffres, facile à mémoriser en deux secondes.
Quelques minutes plus tard, dans la cohue du bar, ton téléphone disparaît de ta poche ou de ta table.
Avant janvier 2024, la suite était prévisible : le voleur avait ton code. Avec ça, il avait tout. Ton Apple ID. Tes mots de passe. Ton accès bancaire via le trousseau iCloud. La capacité de te verrouiller dehors de ton propre compte Apple en moins d’une demi-heure.
iOS 17.3 a changé la donne. Voici comment.
TL;DR
Avant iOS 17.3, connaître le code de ton iPhone suffisait pour voler ton identité Apple complète en 30 secondes. Stolen Device Protection ajoute une couche biométrique obligatoire (Face ID) pour les actions sensibles, plus un délai forcé d’une heure que le voleur ne peut pas contourner. Active-le dans Réglages → Face ID et code → Stolen Device Protection.
Ce qui était possible avant iOS 17.3
Le code de déverrouillage iOS est puissant — trop puissant. Apple l’a conçu comme clé de secours quand Face ID échoue, mais ça signifiait qu’il pouvait remplacer Face ID pour presque n’importe quelle action.
Avec ton code en main, un voleur pouvait, en moins de 30 secondes :
- Changer le mot de passe Apple ID : Réglages → ton nom → Mot de passe et sécurité → Changer le mot de passe. Le code suffit. Une fois changé, tu n’as plus accès à iCloud, à l’App Store, à iMessage depuis tes autres appareils.
- Ajouter un appareil de confiance : le voleur enregistre son propre iPhone comme appareil de confiance sur ton compte Apple. Les codes de vérification à deux facteurs arrivent chez lui.
- Désactiver Localiser mon iPhone : Réglages → [ton nom] → Localiser → Désactiver. Avec le code, pas besoin de Face ID. Ton téléphone devient invisible sur iCloud.
- Réinitialiser Face ID : Réglages → Face ID et code → Réinitialiser. Enregistrer son propre visage. Face ID sur ton téléphone reconnaît maintenant le voleur.
- Accéder à tous tes mots de passe : Réglages → Mots de passe. Le code déverrouille tout le trousseau iCloud — emails, banques, réseaux sociaux, VPN.
- Désactiver le mode Perdu à distance si tu le déclenches depuis un autre appareil.
Des journalistes du Wall Street Journal avaient documenté cette faille en février 2023, avec des victimes à Chicago, Denver et New York qui avaient perdu des dizaines de milliers de dollars de crypto, vus leurs comptes bancaires vidés et leurs identités numériques volées. Apple a mis presque un an à déployer la correction.
Ce que Stolen Device Protection bloque
iOS 17.3 introduit une règle simple : certaines actions sensibles exigent désormais Face ID ou Touch ID, et le code seul ne suffit plus comme alternative.
Ces actions nécessitent maintenant la biométrie sans exception :
- Afficher ou utiliser les mots de passe et clés d’accès enregistrés dans le trousseau iCloud
- Effectuer un paiement Apple Cash ou Apple Card (certains pays)
- Désactiver le mode Perdu
- Appliquer toutes les informations de carte de crédit dans Safari (saisie automatique)
- Utiliser l’iPhone pour configurer un nouvel appareil
Si le voleur pointe le téléphone vers son propre visage : Face ID échoue. Le système lui propose alors d’entrer le code. Le code est entré. Face ID refuse quand même — parce que le code n’est plus un substitut valide pour ces actions spécifiques.
Comment fonctionne le délai de sécurité d’une heure
Pour un sous-ensemble d’actions encore plus critiques, Stolen Device Protection va plus loin : même si Face ID réussit (disons que le voleur a forcé l’iPhone vers ton visage pendant que tu dormais dans le métro), un délai forcé d’une heure est imposé avant que l’action soit confirmée.
Ces actions déclenchent le délai :
- Changer le mot de passe du compte Apple ID
- Mettre à jour les paramètres de sécurité du compte Apple (récupération de compte, clés de récupération)
- Changer le code de l’iPhone
- Ajouter ou supprimer Face ID
- Désactiver Find My
- Éteindre Stolen Device Protection elle-même
Le processus concret : le voleur passe Face ID, iOS dit “ce changement sera appliqué dans 60 minutes, un second Face ID sera requis à la fin du délai”. Une heure plus tard, un deuxième scan biométrique est demandé. Le voleur doit maintenir l’accès physique au téléphone pendant toute cette heure — et toi, tu as le temps de te connecter sur iCloud.com depuis n’importe quel autre appareil et de déclencher le mode Perdu ou l’effacement à distance.
Ce délai s’applique uniquement en dehors des lieux familiers. iOS apprend où tu es régulièrement — domicile, bureau — via les données de localisation significatives. Dans ces endroits, le délai ne s’active pas pour éviter de te ralentir dans ta propre routine.
Comment activer Stolen Device Protection
L’activation prend moins d’une minute :
- Ouvre Réglages
- Descend jusqu’à Face ID et code (ou Touch ID et code sur les modèles compatibles)
- Entre ton code
- Descend jusqu’à la section Stolen Device Protection
- Appuie sur Activer la protection
Une deuxième option apparaît : Exiger le délai de sécurité. Tu peux choisir entre :
- En dehors des lieux familiers (recommandé) : le délai s’active seulement quand iOS détecte que tu n’es pas à la maison ou au bureau
- Toujours : le délai s’active partout, y compris chez toi
La première option est le bon équilibre pour la majorité des gens. Si tu travailles dans un environnement à risque élevé — journaliste, avocat, dirigeant d’entreprise — le mode “Toujours” est justifié malgré l’inconvénient occasionnel.
Prérequis : iOS 17.3 minimum, Face ID ou Touch ID fonctionnel, et la localisation doit être activée pour que la détection des lieux familiers fonctionne.
Ce que Stolen Device Protection ne protège pas
Soyons clairs sur les limites — et elles sont importantes.
Ton code reste la clé principale. Un voleur avec ton code peut encore : déverrouiller l’iPhone normalement, accéder à toutes tes apps qui n’ont pas leur propre verrouillage, lire tes messages, voir tes photos, tes notes, tes fichiers. Stolen Device Protection protège le compte Apple et le trousseau — pas tout le contenu de l’appareil.
Les apps bancaires ont leurs propres systèmes. Desjardins, TD, RBC — chaque app a son propre NIP ou biométrie. Si tu as configuré ton app bancaire pour accepter le code iOS comme alternative au NIP de l’app, cette porte reste ouverte.
Apple Pay dans certains contextes. Stolen Device Protection bloque certains usages d’Apple Pay, mais le paiement en magasin standard via Face ID n’est pas affecté — ce qui signifie qu’un voleur qui force un scan de ton visage peut encore potentiellement payer avec ton iPhone dans un commerce.
L’email et les messageries. Gmail, Outlook, WhatsApp, Messenger — ces apps s’ouvrent avec le déverrouillage standard de l’iPhone. Un voleur dans un endroit isolé avec ton téléphone déverrouillé a accès à tout ça.
La prévention du vol lui-même. Stolen Device Protection n’empêche pas le vol physique. C’est un filet de sécurité pour ce qui vient après — pas une protection préventive.
La meilleure combinaison reste : Stolen Device Protection activé + code complexe (pas 6 chiffres devinables) + NIP distinct dans chaque app financière + habitude de ne jamais entrer ton code en public quand quelqu’un est dans ton champ de vision.
Si ton iPhone tourne encore sous iOS 16 ou une version antérieure, tu es exposé à la faille originale. La mise à jour vers iOS 17.3 ou plus récent, suivie de l’activation de Stolen Device Protection, est l’une des actions de sécurité les plus importantes que tu peux faire aujourd’hui — et ça prend trois minutes.
Sequr offre des audits de sécurité numériques pour particuliers et PME québécoises. Si tu veux savoir où tu en es vraiment avec la sécurité de tes appareils et de tes comptes, contacte-nous.
