smartphone

Comment sécuriser son smartphone : 9 réflexes clés

8 min de lecture
Comment sécuriser son smartphone : 9 réflexes clés

Sécuriser son smartphone en 9 réflexes simples

Sécuriser son smartphone repose sur neuf gestes : verrouillage par biométrie plus code long, mises à jour automatiques, téléchargement depuis les magasins officiels, contrôle des permissions, chiffrement activé, sauvegardes régulières, prudence sur le Wi-Fi public, vigilance anti-phishing et localisation à distance. Chaque réflexe ferme une porte d’entrée précise.

En 2025, Cybermalveillance.gouv.fr a assisté plus de 500 000 victimes, soit une hausse de 20 % sur un an, avec le phishing en tête des menaces (+70 % de demandes d’aide). Votre téléphone concentre messages, photos, comptes bancaires et accès professionnels. Voici comment le verrouiller pour de bon.

Verrouiller l’accès : le premier rempart

Un smartphone non verrouillé livre tout en cas de perte ou de vol. Le code PIN à 4 chiffres ne propose que 10 000 combinaisons et s’observe facilement par-dessus l’épaule. Trois niveaux de protection existent, du plus faible au plus solide :

  • Code à 6 chiffres ou plus : un million de combinaisons au lieu de dix mille, sans surcoût de confort
  • Mot de passe alphanumérique : le plus robuste, à réserver aux usages très sensibles
  • Biométrie (empreinte, reconnaissance faciale) : rapide et difficile à observer

La biométrie offre une sécurité supérieure au code observable ou devinable, d’après les analyses de WeLiveSecurity (ESET). Reste un point : elle s’appuie toujours sur un code de secours. Un visage déverrouille votre écran, mais un code faible derrière annule le bénéfice.

Réglez aussi le verrouillage automatique sur 30 secondes maximum. Un téléphone posé sur une table reste vulnérable le temps qu’il s’éteigne. Activez enfin l’effacement après plusieurs tentatives ratées, disponible sur iOS comme sur Android.

Mettre à jour le système et les applications

Chaque mise à jour corrige des failles déjà connues et documentées des attaquants. Un système non patché reste exposé à des vulnérabilités que l’éditeur a pourtant publiquement réparées. L’ANSSI rappelle que la mise à jour et le chiffrement restent des barrières efficaces.

Activez les mises à jour automatiques pour ne plus y penser :

  • Android : Paramètres > Système > Mise à jour du système, et Play Store > Paramètres > Mises à jour automatiques
  • iOS : Réglages > Général > Mise à jour logicielle > Mises à jour automatiques

La durée de support varie énormément selon le constructeur. Certains modèles reçoivent des correctifs pendant trois ans, d’autres jusqu’à sept ans. Ce critère pèse lourd au moment de l’achat. Notre comparatif des smartphones milieu de gamme 2026 détaille la politique de mises à jour de chaque modèle, un point souvent négligé face à la fiche photo.

Installer uniquement depuis les magasins officiels

Les boutiques officielles filtrent les applications avant publication. En 2024, Google Play Protect a bloqué 2,36 millions d’applications malveillantes et suspendu 158 000 comptes développeurs liés à la diffusion de logiciels espions, selon Google. Le système scanne plus de 200 milliards d’applications par jour.

Le danger se situe hors de ces magasins. Les fichiers APK partagés par message, les boutiques alternatives non vérifiées et les liens de téléchargement direct contournent ce filtrage. Google a identifié plus de 13 millions de nouveaux malwares provenant de sources extérieures au Play Store en 2024.

Quelques réflexes avant d’installer :

  • Vérifiez le nombre de téléchargements et la date de dernière mise à jour
  • Lisez les avis récents, pas seulement la note globale
  • Méfiez-vous d’une application qui imite le nom d’un service connu avec une légère faute
  • Sur Android, laissez désactivée l’option « Sources inconnues » sauf besoin ponctuel

Sur iPhone, l’installation reste cantonnée à l’App Store par défaut, ce qui réduit mécaniquement la surface d’attaque.

Contrôler les permissions des applications

Une lampe torche n’a aucune raison d’accéder à vos contacts ou à votre micro. Pourtant, ces demandes abusives existent par milliers. Google a bloqué 1,3 million d’applications réclamant des permissions excessives en 2024, d’après le même bilan de sécurité.

Faites le tri régulièrement :

  • Android : Paramètres > Confidentialité > Gestionnaire d’autorisations. Vous y voyez quelles applications accèdent à la caméra, au micro, à la localisation
  • iOS : Réglages > Confidentialité et sécurité, avec le détail par type de donnée

Privilégiez la localisation « Pendant l’utilisation » plutôt que « Toujours ». Coupez l’accès au micro et à la caméra pour toute application qui n’en a pas un besoin évident. iOS affiche un point orange ou vert en haut de l’écran dès qu’une application active le micro ou la caméra : un signal visuel utile pour repérer une fuite.

Activer le chiffrement des données

Le chiffrement rend vos données illisibles sans la clé, c’est-à-dire sans votre code de déverrouillage. Si quelqu’un extrait la mémoire d’un téléphone volé, il ne récupère qu’une suite de caractères inexploitable. Cette protection s’applique aux photos, messages, mots de passe enregistrés et fichiers.

Bonne nouvelle : le chiffrement est activé par défaut sur la quasi-totalité des smartphones récents.

  • iOS : le chiffrement matériel s’active automatiquement dès qu’un code de verrouillage existe. Sans code, pas de chiffrement actif
  • Android : actif par défaut depuis Android 10 sur la plupart des appareils, là encore conditionné à la présence d’un verrouillage

Le lien est direct : votre code de déverrouillage est la clé de chiffrement. Un code faible affaiblit donc tout l’édifice. C’est la même logique que pour un ordinateur, où le chiffrement du disque protège les données en cas de vol physique. Nos 10 réflexes de cybersécurité pour le PC détaillent cette mécanique, transposable au mobile.

Sauvegarder régulièrement

Une sauvegarde transforme un vol ou une panne en simple désagrément. Sans elle, photos, contacts et historiques disparaissent définitivement. La sauvegarde protège aussi contre les rançongiciels mobiles, encore rares mais en progression.

Deux approches complémentaires :

  • Cloud automatique : iCloud sur iPhone, Google One sur Android, programmé chaque nuit pendant la charge
  • Copie locale : transfert périodique des photos et documents vers un ordinateur ou un disque externe

La combinaison des deux suit l’esprit de la règle 3-2-1 appliquée au mobile : plusieurs copies, sur des supports différents, dont une hors de l’appareil. Vérifiez de temps en temps que la sauvegarde s’exécute vraiment. Une sauvegarde silencieusement interrompue depuis des mois ne sert à rien le jour du problème.

Se méfier des réseaux Wi-Fi publics

Le Wi-Fi gratuit d’une gare ou d’un café attire, mais reste un terrain propice aux attaques. Le risque principal porte un nom : l’attaque de l’homme du milieu, où un pirate s’intercale entre votre téléphone et le réseau pour écouter ou modifier les échanges. Certains créent même un faux point d’accès sans mot de passe pour piéger les imprudents.

La protection existe déjà en partie : la majorité des sites utilisent HTTPS, qui chiffre les échanges entre votre appareil et le service, même sur un réseau ouvert. Mots de passe et données bancaires restent alors illisibles pour un tiers. Quelques précautions complètent ce garde-fou :

  • Vérifiez le nom exact du réseau auprès du personnel officiel, recommandation de l’ANSSI contre les faux hotspots
  • Activez un VPN pour toute opération sensible (banque, achats, accès professionnels)
  • Désactivez la connexion Wi-Fi automatique aux réseaux ouverts inconnus
  • Coupez le partage de fichiers local quand vous êtes hors de chez vous

Couper le Wi-Fi en déplacement présente un bénéfice secondaire bien réel : un gain d’autonomie. Notre guide pour optimiser la batterie de votre smartphone chiffre précisément l’impact de chaque antenne active.

Reconnaître le phishing sur mobile

Le phishing domine les menaces : Cybermalveillance.gouv.fr l’a placé en première position en 2025, avec une hausse de 70 % des demandes d’assistance. Sur smartphone, il prend la forme de SMS frauduleux (le smishing), de messages dans les applications et d’emails. L’écran réduit complique la vérification d’un lien, ce qui rend la vigilance encore plus nécessaire.

Les signaux qui doivent alerter :

  • Une urgence artificielle : « colis bloqué », « compte suspendu sous 24h », « amende à régler »
  • Un expéditeur inconnu ou une adresse qui imite un service connu avec une variante
  • Un lien raccourci ou une adresse qui ne correspond pas au site officiel
  • Une demande directe de mot de passe, de code bancaire ou de code reçu par SMS

Le réflexe : ne jamais cliquer dans le doute. Ouvrez l’application officielle ou tapez l’adresse vous-même dans le navigateur. Aucun organisme légitime ne réclame un mot de passe complet par message. Cette vigilance s’applique à tous vos appareils connectés, comme le rappellent nos conseils de cybersécurité pour le PC.

Activer l’authentification à deux facteurs

La double authentification ajoute une barrière même si votre mot de passe fuit. Son efficacité est mesurée : selon une étude de Google menée avec des chercheurs de l’université de New York et de UC San Diego, une invite de validation sur l’appareil bloque 100 % des attaques automatisées, 99 % du phishing de masse et 90 % des attaques ciblées. Les codes par SMS protègent moins bien (76 % sur le ciblé), car détournables par échange de carte SIM.

Privilégiez une application d’authentification (Google Authenticator, Microsoft Authenticator) ou une clé physique plutôt que le SMS pour vos comptes les plus sensibles : messagerie, banque, réseaux sociaux.

Localiser et effacer à distance

Un smartphone perdu ou volé doit pouvoir être bloqué et effacé depuis un autre appareil. Cette fonction, native sur les deux systèmes, limite les dégâts quand la protection physique a échoué.

  • iOS : Localiser (Find My) doit être activé dans Réglages > votre nom > Localiser. Vous pouvez faire sonner, verrouiller ou effacer l’appareil à distance
  • Android : Localiser mon appareil, activable dans Paramètres > Sécurité, avec les mêmes options de blocage et d’effacement

Activez aussi le verrouillage d’activation, qui empêche un voleur de réinitialiser et réutiliser le téléphone sans vos identifiants. Notez quelque part le numéro IMEI de votre appareil (composez le *#06#) : il sera demandé en cas de dépôt de plainte et pour le blocage opérateur.

Prochaine étape

Commencez par les trois réflexes à plus fort impact immédiat : un code de 6 chiffres minimum avec biométrie, les mises à jour automatiques activées, et l’authentification à deux facteurs sur vos comptes sensibles. Ces trois actions prennent moins de dix minutes et bloquent la grande majorité des attaques courantes. Pour aller plus loin, appliquez la même logique de défense en couches à la protection de vos ordinateurs.