Les applications de coffre-fort photo sont-elles sures ? Un audit de securite 2026
La plupart des applications de coffre-fort photo iOS protegent l'ecran, pas les fichiers. Dans notre audit de juin 2026 portant sur 12 des applications vault les plus installes, une seule nommait un algorithme de chiffrement specifique dans sa fiche App Store, et 7 sur 12 declaraient vous suivre. Les applications dignes de confiance sont la minorite qui nomment un vrai algorithme, ne detiennent aucune cle de vos donnees et ne collectent rien.
Les applications de coffre-fort photo ne sont pas uniformement sures. Dans notre audit de juin 2026 portant sur 12 des applications vault iOS les plus installes, 7 sur 12 declaraient suivre les utilisateurs sur les applications et sites web, 1 seule nommait un algorithme specifique dans sa fiche, et une decennie de recherche independante a retrouve des applications commercialisant le "chiffrement" tout en stockant des fichiers en clair ou derriere une obscurcissement trivial. Les applications sures nomment un vrai algorithme, ne necessitent pas de compte et ne detiennent aucune cle de vos donnees.
Ce que nous avons audite et ce que nous n'avons pas teste
Nous avons extrait l'etiquette de confidentialite de l'app, la politique de confidentialite publiee et la description App Store des principales applications de coffre-fort photo et de masquage de photos dans l'App Store americain en juin 2026, classees par position dans le store et volume de notes. Nous avons classe chaque application selon son modele de securite reel et recense une decennie de defaillances documentees des applications vault, en ne conservant que les incidents tracables a une source principale ou corroboree.
Deux limites sont importantes. Premierement, les etiquettes de confidentialite App Store sont declarees par les developpeurs eux-memes ; Apple ne les audite pas, donc une application pourrait declarer moins qu'elle ne collecte. Deuxiemement, il s'agit d'une revue des etiquettes, des politiques et de l'architecture, plus un registre public d'incidents. Nous n'avons pas effectue de capture reseau en direct, donc nous ne faisons aucune affirmation sur le trafic que nous n'avons pas observe personnellement. Tout ce qui est indique ici est verifiable d'apres les sources listees en bas de cette page.
Constat 1 : "Chiffrement" est generalement un mot, pas un fait verifiable
La categorie repose sur l'expression "chiffrement de grade militaire". Elle ne signifie rien en soi. AES-256 est un standard public sans grade militaire ; l'expression est du marketing qui perdure parce qu'elle ressemble a une specification. Ce qui compte vraiment, c'est si une application nomme un algorithme, une longueur de cle et une methode de derivation de cle que vous pouvez evaluer.
Dans l'audit des etiquettes des 12 applications, une seule nommait un algorithme specifique dans sa description App Store : Secret Photos KYMS, qui indique "AES". Toutes les autres disaient "chiffrement de grade militaire", "stockage chiffre", "architecture zero-knowledge", ou ne nommaient aucun chiffrement. En approfondissant l'examen des sites developpeurs et des politiques de huit applications, seulement trois nommaient un vrai algorithme quelque part dans leurs materiaux officiels : LockMyPix nomme AES-CTR, le coffre-fort cloud optionnel de Private Photo Vault nomme AES-256, et Calculator# divulgue AES-256 avec PBKDF2 a 200 000 iterations. Ces trois-la meritent credit pour avoir montre leur travail.
Il existe une distinction que la plupart des fiches vault brouillent : masquer une photo n'est pas la chiffrer. Masquer deplace un fichier quelque part de moins visible. Chiffrer le transforme en texte chiffre inutile sans une cle. Un ecran PIN qui protege un dossier de fichiers ordinaires est un rideau, pas un mur. Quiconque atteint les fichiers en dessous via une sauvegarde, un outil forensique ou une commande adb entre directement.
Constat 2 : Les etiquettes de confidentialite en disent plus que le marketing
Les etiquettes de confidentialite d'app d'Apple sont la page la plus honnete de l'App Store, car les falsifier constitue une violation de la politique. C'est la ou le texte marketing et les pratiques de donnees reelles cessent de correspondre. Notre audit de juin 2026 a revele que 7 des 12 applications declarent "Donnees utilisees pour vous suivre", le terme d'Apple pour les donnees partagees pour vous pister sur les applications et sites web d'autres societes. Seulement 2 sur 12 portent le label "Aucune donnee collectee" d'Apple, la plus forte attestation de confidentialite du store : Safe Lock et Secret Photo Vault Lock Photos.
Les deux applications les mieux notees du lot, Private Photo Vault (Pic Safe) et SV Private Photo Vault PRO, sont toutes deux publiees par Legendary Software Labs et cumulent ensemble environ 1,026 million d'evaluations combinees. Toutes deux tracent les utilisateurs et, selon leurs propres etiquettes, lient vos photos, videos et identifiants d'appareil a votre identite. Best Secret Folder a la plus large empreinte "lie a vous" du lot : localisation, informations de contact completes incluant nom, e-mail et telephone, ainsi que vos photos, videos et audios, tout en diffusant des publicites. Une application de photos privees qui lie vos photos a votre identite et vous piste sur d'autres applications resout un probleme different de celui pour lequel vous l'avez telechargee.
Les autres applications de l'audit racontent leur propre histoire. Private Photo Vault (Pic Safe) et SV Private Photo Vault PRO ne nomment aucun algorithme dans leurs fiches, utilisant uniquement l'expression "valeur secrete pour chiffrer/dechiffrer". Keepsafe decrit son chiffrement comme "de grade militaire" sans nommer d'algorithme. Privault dit "stockage chiffre". HiddenVault revendique une "architecture zero-knowledge" mais ne nomme aucun algorithme. Calculator# ne nomme aucun algorithme dans sa fiche App Store. Best Secret Folder et Hide It Pro ne nomment rien du tout. Seul KYMS nomme AES, et seul Encamera est open source, ce qui offre un autre type de verifiabilite.
Constat 3 : Un compte et un backend cloud constituent une deuxieme surface d'attaque
La gestion des fichiers locaux peut etre irreprochable et l'application peut quand meme fuiter, car le backend est une surface d'attaque distincte. Les applications qui necessitent un compte et stockent vos fichiers sur leurs serveurs vous demandent de faire confiance a une base de donnees que vous ne pouvez pas inspecter.
Keepsafe est l'exemple le plus clair de ce choix structurel. Il necessite une adresse e-mail avant de pouvoir l'utiliser, stocke le contenu sur ses propres serveurs, et une analyse de securite independante a revele que la societe conserve la capacite d'acceder aux photos des utilisateurs. Sa politique de confidentialite est aussi la seule de notre lot qui admet que certains partages de donnees peuvent etre qualifies au regard du droit californien de vente ou de partage de vos informations personnelles. C'est une divulgation que les autres n'ont pas faite, et elle vous dit qui detient la cle. Quand un fournisseur detient la cle de chiffrement, une fuite chez le fournisseur est votre fuite. Le modele qui evite cela est le chiffrement zero-knowledge, ou le fournisseur ne peut pas lire vos donnees car il ne detient jamais la cle.
L'exemple concret de ce qui peut mal tourner est arrive en 2025. Une application distincte appelee Photo Vault, publiee par le developpeur Brain Craft, a laisse sa base de donnees Firebase sans protection par mot de passe. L'exposition a ete signalee par Cybernews en 2025 et corroboree par The Dead Pixels Society. Elle a expose des adresses e-mail d'utilisateurs, des mots de passe en clair, des noms de fichiers et de dossiers, et le contenu de la fonctionnalite de notes securisees de l'application, pour une application avec environ 72 000 telechargements. Pour etre precis : cette application Brain Craft n'est pas le meme produit que Private Photo Vault ou Pic Safe de Legendary Software Labs, malgre le nom similaire. Les photos elles-memes n'etaient pas dans la base de donnees, mais tout ce qui etait necessaire pour attaquer les comptes s'y trouvait, y compris des mots de passe stockes en clair, qu'une application vault ne devrait jamais posseder sous forme lisible, et encore moins exposer.
Constat 4 : Le SDK publicitaire a l'interieur de l'application "privee"
Sept des huit politiques de confidentialite que nous avons lues faisaient reference a de la publicite tierce. Le cas le plus marquant est NQ Vault, egalement distribue sous le nom de Vault-Hide, dont la politique liste six SDK publicitaires integres dans l'application : AdMob, Facebook Audience Network, InMobi, MoPub, AppLovin et Unity. Le role d'un reseau publicitaire est de construire un profil de l'utilisateur. En embarquer six dans une application dont toute la premisse est la confidentialite est l'ironie definissante de la categorie, et elle est enoncee dans le texte de la politique, pas dans notre speculation.
Le schema plus large de l'examen des politiques des huit applications : une seule des huit, LockMyPix, se positionne comme sans publicite dans son modele de base. Private Photo Vault mentionne des cookies tiers et de la publicite. Privault liste AdMob et Umeng analytics. Best Secret Folder fait reference a des annonces personnalisees, Google Analytics et Firebase. Hide It Pro fait reference a un SDK publicitaire tiers. Les applications qui ne disposent d'aucun cloud, ne necessitent pas de compte et nomment un algorithme sont l'exception, pas la norme.
Une decennie de defaillances documentees
Rien de tout cela n'est nouveau. Le schema du "chiffrement" qui n'en est pas un a ete documente de facon repetee depuis 2014, par des chercheurs identifies et des etudes soumises a examen par des pairs. Ce qui suit est le registre des incidents avec des niveaux de confiance, car certains sont mieux sources que d'autres.
En septembre 2014, le chercheur en forensique Jonathan Zdziarski a montre que Private Photo Vault, qui rapportait alors plus de 3 millions d'utilisateurs, n'appliquait aucun chiffrement au-dela du stockage iOS par defaut. Les photos etaient recuperables en clair en environ cinq minutes. Cet incident est verifie d'apres une source principale sur zdziarski.com.
En avril 2015, The Register et Slate ont rapporte que NQ Mobile Vault, qui commercialisait le "chiffrement" et avait plus de 10 millions de telechargements, appliquait une operation XOR d'un seul octet uniquement sur les 128 premiers octets de chaque fichier. Cela laisse 256 cles possibles et le reste de chaque fichier en clair. Cet incident est verifie.
En novembre 2015, le chercheur d'IOActive Michael Allen a teste Private Photo Vault, une application appelee "My Media" et Keepsafe, et a penetre dans les trois en moins de 30 minutes chacune. Les methodes comprenaient des PIN en clair stockes dans des fichiers de liste de proprietes, un serveur web non authentifie s'executant sur le port 5555, et des mots de passe d'album retournes en clair depuis le serveur. Cet incident est verifie.
En 2017, Zhang, Baggili et Breitinger ont publie une etude soumise a examen par des pairs dans Computers and Security (volume 70) analysant 18 applications vault Android avec environ 220 millions de telechargements combines. Six ne chiffraient pas les photos stockees, 7 stockaient les mots de passe en clair, et 10 exposaient des donnees cachees sans acces root. La recherche a aide a recuperer des preuves dans une affaire penale : 66 images et 18 videos. Cette etude est verifiee.
En juin 2019, un chercheur publiant sous le nom de forensicmike1 a trouve que Private Photo Vault avait ajoute le chiffrement AES via RNCryptor, mais que la cle principale etait stockee de facon statique dans le iOS Keychain et n'etait jamais renouvelee quand l'utilisateur changeait son PIN. Un PIN a 4 chiffres rendait la cle trivialement cracable par force brute. Cet incident est verifie.
En 2022, Ruffin et ses collegues ont publie une etude soumise a examen par des pairs a ACM WPES analysant 20 applications vault Android populaires avec plus de 10 millions de telechargements chacune. Seulement 5 sur 20 tentaient le chiffrement de fichiers. 15 etaient entierement recuperables avec un simple adb pull, et 7 stockaient des PIN ou des e-mails de recuperation en clair. Cette etude est verifiee.
En fevrier 2025, Kaspersky a signale la campagne SparkCat : un logiciel malveillant trouve dans des applications a la fois sur l'App Store et Google Play qui utilisait la reconnaissance optique de caracteres sur l'appareil pour scanner les bibliotheques de photos des utilisateurs a la recherche de phrases de recuperation de cryptomonnaies et de captures d'ecran de mots de passe, puis exfiltrait les correspondances. Apple et Google ont supprime les applications. C'etait le premier voleur de photos base sur l'OCR connu a avoir passe la revue de l'App Store. Cet incident est verifie.
Deux incidents supplementaires ont une verification partielle et doivent etre lus avec cette reserve. Une analyse de 2021 a trouve une famille d'applications vault style calculatrice sur Android partageant une seule cle AES-CBC codee en dur sur chaque installation, ce qui signifie qu'une cle connue dechiffrait les medias de chaque utilisateur. C'est partiellement verifie, d'apres un seul chercheur techniquement specifique. Separement, l'application Vault-Hide a ete signalee par le ministere indien de l'Electronique et des Technologies de l'Information en 2017 pour l'exfiltration de numeros de telephone, de numeros IMEI et de listes d'applications installees, et aurait evite la suppression en se renommant. C'est partiellement verifie via des sources secondaires de Cybernews et CPO Magazine.
Un point de donnees est remarquable par son absence : nous n'avons trouve aucun CVE attribue a une application de coffre-fort photo grand public. La divulgation formelle la plus proche est un avis de 2018 concernant un produit "Photo Vault" non relie avec un serveur Wi-Fi non authentifie, classe gravite moyenne (CVSS 4.8), sans CVE emis (seclists.org Full Disclosure, janvier 2018). La categorie n'est pas formellement suivie, ce qui signifie que la plupart de ces defaillances ont ete detectees par des chercheurs independants en dehors de tout processus de divulgation coordonne.
Comment evaluer concretement une application vault
Vous n'avez pas besoin de faire de retro-ingenierie. Cinq questions filtrent la plupart des risques. Premierement : nomme-t-elle un algorithme ? "AES-256" ou "AES-GCM" est une affirmation que vous pouvez verifier. "Grade militaire" ne l'est pas. Deuxiemement : necessite-t-elle un compte ? Un e-mail et un mot de passe creent un referentiel d'identifiants susceptible de fuiter, comme l'a montre l'incident Firebase de Brain Craft. Troisiemement : si elle sauvegarde dans le cloud, qui detient la cle ? Si le fournisseur peut reinitialiser votre mot de passe et recuperer vos photos, le fournisseur peut lire vos photos, et quiconque compromet le fournisseur aussi.
Quatriemement : que disent l'etiquette de confidentialite de l'app et la politique ? Ouvrez la section Confidentialite de l'app. Si elle vous piste ou lie vos photos a votre identite, croyez-le. Lisez la politique pour les mentions de SDK publicitaires. Cinquiemement : est-elle auditable ? "Aucune donnee collectee", des algorithmes nommes avec des details de derivation de cle et du code open source sont des signaux qu'une application s'attend a etre examinee. Les applications qui ne peuvent pas etre verifiees comptent sur le fait que vous ne verificerez pas.
La place de Vaultaire dans ce tableau
Nous avons construit Vaultaire autour des classes de defaillances specifiques documentees ci-dessus, il est donc juste de nous mesurer a elles plutot qu'au marketing. Vaultaire derive votre cle de chiffrement AES-256-GCM d'un schema 5x5 que vous dessinez ; le schema genere la cle et n'est jamais stocke, il n'y a donc pas de fichier de mot de passe susceptible de fuiter et rien sur un serveur susceptible d'etre craque par force brute. Il n'y a pas de compte, ce qui signifie pas d'adresse e-mail et pas de referentiel d'identifiants. C'est exactement ce qui a fuite lors de l'incident Brain Craft.
Vaultaire est zero-knowledge : vos fichiers et cles ne quittent jamais l'appareil sous forme lisible. La sauvegarde iCloud optionnelle est chiffree avant de quitter votre telephone, donc nous ne pouvons pas la lire et personne qui compromet un serveur non plus. Nous ne detenons aucune cle de vos donnees, ce qui signifie qu'une fuite nous concernant n'est pas une fuite vous concernant. Ce n'est pas affirmer que Vaultaire est le seul choix sur. C'est une affirmation sur l'architecture : le modele qui evite les defaillances documentees est celui ou le fournisseur ne detient jamais votre cle et ne collecte jamais vos donnees. Quelques autres applications reussissent des parties de cela, et nous les avons nommees tout au long de cet audit. L'objectif de l'audit est que vous pouvez maintenant verifier vous-meme n'importe quelle affirmation.
À lire également :
- Les applications de coffre-fort photo sont-elles sures ? La version courte
- Ce que le chiffrement AES-256 signifie vraiment
- Le chiffrement zero-knowledge explique
- Ce que disent vraiment les politiques de confidentialite du stockage photo cloud
- Comment le chiffrement par schema fait de votre trace la cle
Sources
- Private Photo Vault: Not So Private (Zdziarski, 2014)
- NQ Mobile Vault XOR encryption analysis (The Register, 2015)
- Breaking into and Reverse Engineering iOS Photo Vaults (IOActive, Michael Allen, 2015)
- iOS Photo Vault Still Pwnable in 2019 (forensicmike1, 2019)
- Breaking into the Vault: Privacy, Security, and Forensic Analysis of Android Vault Applications (Zhang, Baggili and Breitinger, Computers and Security vol. 70, 2017)
- Casing the Vault: Security Analysis of Android Vault Applications (Ruffin et al., ACM WPES, 2022)
- SparkCat: OCR-based photo stealer found on App Store and Google Play (Kaspersky Securelist, 2025)
- iOS photo vault app exposes private user data via Firebase (Cybernews, 2025)
- Photo Vault unauthenticated WiFi server disclosure (Full Disclosure, seclists.org, 2018)
- App Privacy Details (Apple App Store policy)
Questions fréquentes
Les applications de coffre-fort photo sont-elles vraiment sures ?
Cela depend entierement de l'application, et la plupart sont plus faibles qu'elles n'y paraissent. Dans notre audit de juin 2026, 7 des 12 applications vault iOS les plus installes declaraient vous suivre, et 1 seule nommait un algorithme specifique dans sa fiche. Une decennie de recherche a retrouve de facon repetee des applications commercialisant le "chiffrement" tout en stockant des fichiers en clair ou derriere un obscurcissement trivial. Les sures nomment un vrai algorithme, ne necessitent pas de compte et ne detiennent aucune cle de vos donnees.
Un developpeur d'application vault peut-il voir mes photos ?
Si l'application stocke vos photos dans son propre cloud et peut recuperer votre compte si vous oubliez votre mot de passe, alors oui : le developpeur detient la cle de chiffrement et peut techniquement acceder a vos photos, tout comme quiconque compromet les serveurs du developpeur. Une analyse independante a revele que c'est le cas pour Keepsafe. Les applications zero-knowledge ou uniquement locales ne peuvent pas voir vos photos car elles ne detiennent jamais la cle.
Private Photo Vault (Pic Safe) est-il vraiment chiffre ?
Le Cloud Vault optionnel de Private Photo Vault nomme AES-256, qui est un vrai algorithme. Mais l'application a un historique documente de faiblesses : aucun chiffrement trouve en 2014 (Zdziarski), penet dans les 30 minutes en 2015 (IOActive), et une cle principale statique et non renouvelee trouvee en 2019 (forensicmike1). Son etiquette de confidentialite App Store actuelle declare egalement qu'elle vous suit et lie vos photos a votre identite.
Les applications vault utilisent-elles vraiment le chiffrement, ou juste un PIN ?
Beaucoup n'utilisent qu'un PIN sur un dossier cache, ce qui n'est pas du chiffrement. Masquer deplace un fichier vers un emplacement moins visible ; le fichier reste lisible par quiconque y accede via une sauvegarde ou un outil forensique. Une etude soumise a examen par des pairs de 2022 portant sur 20 applications vault Android (Ruffin et al., ACM WPES) a revele que seulement 5 tentaient un vrai chiffrement de fichiers, et 15 etaient entierement recuperables avec un simple adb pull. Un vrai chiffrement transforme le fichier en texte chiffre qui necessite une cle.
Que se passe-t-il avec mes photos si je supprime une application vault ?
Si l'application n'a fait que masquer les fichiers (pas de chiffrement), les fichiers peuvent rester sur l'appareil dans un emplacement accessible ou dans des sauvegardes. Si l'application a chiffre les fichiers localement et que vous supprimez l'application sans les exporter, le texte chiffre peut devenir irrecuperable car la cle disparait. Si l'application utilisait le stockage cloud, les fichiers peuvent persister sur les serveurs du fournisseur. Consultez la documentation d'exportation et de suppression de l'application avant de la desinstaller.
Les outils forensiques ou la police peuvent-ils contourner le PIN d'un coffre-fort photo ?
Une protection PIN seule offre peu de resistance aux outils d'extraction forensique. Des recherches de 2014, 2015, 2017 et 2022 ont montre que les PIN des applications vault etaient contournes en quelques minutes ou que des fichiers etaient recuperes sans aucune authentification. Un PIN a 4 chiffres trouve dans l'implementation 2019 de Private Photo Vault a ete note comme trivialement cracable par force brute. Un vrai chiffrement de fichiers avec une fonction de derivation de cle robuste releve considerablement la barre ; une protection PIN seule ne le fait pas.
Keepsafe vend-il mes donnees ?
La politique de confidentialite de Keepsafe est la seule de notre lot d'audit qui stipule explicitement que certains partages de donnees peuvent etre qualifies au regard du droit californien de "vente" ou de "partage" d'informations personnelles. La politique fait egalement reference a des partenaires publicitaires. C'est une divulgation que les autres applications de notre lot n'ont pas faite. Que cela constitue une vente depend de la definition legale appliquee, mais la politique est la plus explicite de la categorie sur ce point.
Quelle est la difference entre masquer des photos et les chiffrer ?
Masquer deplace un fichier vers un emplacement moins visible sur l'appareil ; le fichier sous-jacent est inchange et lisible par quiconque ayant acces au stockage, y compris les outils de sauvegarde ou les logiciels forensiques. Chiffrer transforme le fichier en texte chiffre illisible sans la cle correcte. Beaucoup d'applications vault ne font que masquer. Une etude academique de 2022 (Ruffin et al.) a revele que 15 des 20 applications vault Android populaires etaient recuperables avec un simple adb pull, sans aucun dechiffrement necessaire.
Est-il sur d'activer la sauvegarde cloud dans une application de coffre-fort photo ?
Seulement si la sauvegarde est chiffree avant de quitter votre appareil et que le fournisseur ne peut pas la dechiffrer. Si le fournisseur peut recuperer vos fichiers quand vous perdez votre mot de passe, la sauvegarde est lisible par le fournisseur et exposee lors de toute fuite de serveur. L'incident Firebase de Brain Craft en 2025 a expose des e-mails, des mots de passe en clair et des noms de dossiers precisement parce que le cote cloud n'avait aucune protection. Recherchez une architecture zero-knowledge avec chiffrement avant l'envoi.
Quelle application de coffre-fort photo ne necessite pas de compte ni d'acces internet ?
Plusieurs applications fonctionnent entierement hors ligne sans compte. Dans notre audit, deux portaient le label "Aucune donnee collectee" d'Apple : Safe Lock et Secret Photo Vault Lock Photos. Vaultaire ne necessite aucun compte, aucune adresse e-mail et aucune connexion reseau pour chiffrer et stocker des fichiers. Ne pas necessiter de compte supprime entierement la surface d'attaque du referentiel d'identifiants, ce qui est exactement la classe d'exposition que l'incident Firebase de Brain Craft en 2025 a demontre.