En 2023, une vague de vols d’iPhone à New York, Chicago et Los Angeles a fait les manchettes. Le mécanisme était d’une simplicité désarmante : des voleurs s’asseyaient près de leur cible dans un bar ou un restaurant, observaient la victime entrer son NIP plusieurs fois, mémorisaient le code — puis volaient le téléphone.
Avec le NIP, ils avaient accès à tout : Apple ID, iCloud, applications bancaires, gestionnaire de mots de passe. En quelques minutes, un compte bancaire pouvait être vidé. C’est ce qui a poussé Apple à créer la fonctionnalité “Stolen Device Protection” dans iOS 17.3.
Ce genre d’attaque s’appelle le shoulder surfing. Et contrairement aux malwares ou aux phishing sophistiqués, il ne nécessite aucune compétence technique — juste de l’observation.
Qu’est-ce que le shoulder surfing ?
Le shoulder surfing désigne toute technique d’espionnage visuel par laquelle quelqu’un observe tes écrans, tes saisies au clavier ou tes documents pour collecter des informations confidentielles.
Ça inclut :
- Observer quelqu’un entrer son NIP ou son mot de passe
- Lire par-dessus l’épaule dans les transports en commun
- Voir l’écran de quelqu’un depuis un angle ou une distance
- Observer la frappe au clavier pour reconstituer ce qui a été tapé
- Photographier ou filmer discrètement un écran
L’étude de l’Université de Stuttgart (2017) a été particulièrement révélatrice : sur des tests contrôlés, 73% des NIP à 6 chiffres pouvaient être mémorisés par observation directe en une seule tentative. Pour les NIP à 4 chiffres, le taux montait à 85%.
Les vecteurs de risque physique
La saisie de NIP aux caisses et aux DAB
L’observation du NIP bancaire est la forme classique du shoulder surfing. À la caisse du supermarché, au guichet automatique, dans un café — n’importe qui à proximité peut observer ta saisie si tu ne protèges pas physiquement le clavier.
Le geste simple : couvrir le clavier avec ta main libre pendant la saisie. Ça paraît évident, mais peu de gens le font systématiquement.
Le téléphone dans les transports en commun
Le métro et l’autobus sont des environnements où les gens sortent leur téléphone et font des choses sensibles — vérifier leur compte bancaire, lire des emails professionnels, consulter des messages privés — sans réaliser que plusieurs personnes sont à 30 cm d’eux.
Une personne debout derrière toi dans le métro a une vue parfaite sur ton écran. Dans le bus, la personne assise à côté peut lire ce que tu tapes.
L’ordinateur portable dans les cafés et les espaces de travail partagés
Les télétravailleurs et les étudiants qui travaillent dans des cafés, des bibliothèques ou des espaces de coworking sont particulièrement exposés. Quelqu’un assis derrière ou à côté peut voir ton écran entier — contrats, données client, emails confidentiels, mots de passe.
Les imprimantes partagées au bureau
Les documents oubliés dans le bac de sortie d’une imprimante commune restent parfois des heures. Tout le monde qui passe peut les voir. Dans un bureau où des visiteurs, des livreurs ou du personnel de nettoyage circulent, c’est un vecteur réel.
Les imprimantes avec impression sécurisée par NIP (pull printing) résolvent ce problème : le document n’est imprimé que quand tu te trouves devant l’imprimante et que tu entres ton code.
L’écran visible depuis la rue
Un bureau devant une fenêtre donnant sur la rue, ou un appartement au rez-de-chaussée avec un grand écran bien éclairé la nuit — des configurations plus courantes qu’on ne le pense. Des jumelles bon marché permettent de lire un écran depuis plusieurs dizaines de mètres.
Stolen Device Protection — pourquoi Apple l’a créé
La vague de vols d’iPhone de 2023 a illustré un problème fondamental : le NIP de verrouillage était la clé de tout. Avec le NIP, un voleur pouvait :
- Changer le mot de passe Apple ID (Réglages → [nom] → Mot de passe)
- Désactiver Find My (localisation impossible)
- Supprimer les contacts de confiance pour la récupération de compte
- Accéder à tous les mots de passe enregistrés dans le Trousseau iCloud
- Accéder aux apps bancaires protégées uniquement par Face ID — en désactivant Face ID et en revenant au NIP
Stolen Device Protection (iOS 17.3+) change cette dynamique : pour les actions sensibles effectuées dans un lieu inhabituel (pas ton domicile, pas ton bureau), l’iPhone exige maintenant Face ID ou Touch ID, sans possibilité de revenir au NIP. Et pour certaines actions critiques (changer le mot de passe Apple ID), une heure d’attente est imposée même après l’authentification biométrique.
Pour comprendre comment protéger ton iPhone contre le vol, consulte notre guide détaillé sur Stolen Device Protection.
Les protections physiques
Filtre de confidentialité (privacy screen protector)
Un filtre de confidentialité est une couche physique apposée sur l’écran qui rend l’écran lisible uniquement de face, et noir (ou très sombre) sur les côtés au-delà d’un angle d’environ 30°.
Pour les ordinateurs portables, les filtres 3M et Kensington sont les références. Disponibles pour pratiquement tous les formats d’écran. Certains laptops premium (HP EliteBook avec “Sure View”, Dell avec “Privacy Screen”) ont des filtres intégrés activables par raccourci clavier.
Pour les iPhone et iPad, des protecteurs d’écran avec filtre de confidentialité sont disponibles. L’angle de vue est généralement réduit à ±30°.
Quand en mettre un : si tu travailles régulièrement dans des cafés, des transports en commun ou des espaces de coworking avec des données professionnelles ou financières sensibles.
Verrouillage automatique rapide
Un écran qui se verrouille rapidement limite la fenêtre d’exposition si tu laisses ton appareil sans surveillance.
- iPhone : Réglages → Écran et luminosité → Verrouillage auto → 30 secondes
- Mac : Réglages système → Économiseur d’écran → Exiger le mot de passe → Immédiatement. Raccourci clavier : Control + Command + Q pour verrouiller manuellement.
- Windows : Win + L pour verrouiller instantanément
Orientation de l’écran
Positionne-toi physiquement de façon à avoir le dos contre un mur ou une surface opaque. En avion, demande le siège contre la hublot plutôt qu’au couloir. Dans un café, choisis une table avec le dos à un mur.
Bonnes pratiques au quotidien
| Situation | Risque | Action |
|---|---|---|
| DAB / terminal carte | Observation du NIP | Couvrir le clavier avec la main libre |
| Téléphone dans le métro | Lecture de l’écran | Filtre de confidentialité ou éviter les données sensibles |
| Laptop en café | Vue sur l’écran entier | Filtre de confidentialité + orientation dos au mur |
| Saisie mot de passe en public | Observation des frappes | Touch ID / Face ID plutôt que frappe manuelle |
| Impression de documents | Documents oubliés | Impression sécurisée par NIP |
| Réunion vidéo | Fenêtres visibles en arrière-plan | Arrière-plan virtuel ou vérification de l’écran partagé |
Les réunions vidéo et les présentations
Un angle mort souvent oublié : en partageant ton écran pendant une réunion Zoom ou Teams, toutes les fenêtres en arrière-plan peuvent devenir visibles. Un email confidentiel ouvert dans un autre onglet, un document client, une conversation privée — tout ça peut être capturé en screenshot par n’importe quel participant.
Règle : avant de partager ton écran, ferme tout ce que tu ne veux pas montrer. Utilise “partage d’application” plutôt que “partage d’écran complet” quand c’est possible.
Recommandations pratiques
- Active Stolen Device Protection maintenant (iOS 17.3+) — Réglages → Face ID et code → Stolen Device Protection
- Configure le verrouillage automatique à 30 secondes ou 1 minute sur tous tes appareils
- Couvre systématiquement le clavier quand tu saisis un NIP ou un code en public
- Investis dans un filtre de confidentialité si tu travailles régulièrement avec des données sensibles en dehors de chez toi
- Positionne-toi dos au mur dans les espaces publics — une habitude simple à prendre
- Utilise Face ID / Touch ID plutôt que la frappe de NIP dans les transports et lieux publics
- Vérifie ce qui est visible avant de partager ton écran en réunion
La sécurité physique est souvent le maillon faible d’une stratégie de sécurité numérique par ailleurs solide. Les meilleurs mots de passe du monde ne servent à rien si quelqu’un les voit par-dessus ton épaule.
