Le réglage s’appelle « Verrouillage automatique » et la plupart des gens ne l’ont jamais ouvert. Pourtant, c’est lui qui décide combien de temps votre téléphone reste accessible à quiconque le ramasse après que vous l’ayez posé sur une table, laissé dans un vestiaire ou simplement oublié dans un Uber. La valeur par défaut sur beaucoup d’appareils : plusieurs minutes. Et ces quelques minutes suffisent largement pour qu’un inconnu accède à vos messages, vos photos, vos applis bancaires.
À retenir
- Votre téléphone reste accessible pendant un délai étonnamment long après extinction de l’écran
- Les constructeurs ne veulent pas que vous changiez ce paramètre, et voici pourquoi
- Une manipulation de 60 secondes suffit à transformer complètement votre niveau de sécurité
Le délai qui ouvre grand la porte
Il faut distinguer deux paramètres que tout le monde confond. D’abord, le délai de mise en veille : le temps avant que l’écran s’éteigne. Ce réglage ne contrôle pas la durée pendant laquelle l’écran reste allumé lors de l’utilisation active, mais détermine le temps d’attente avant l’extinction automatique de l’écran en cas d’inactivité. Ensuite, distinct de ça, le délai de verrouillage automatique : le temps après lequel un code vous est réellement demandé pour rentrer dans le téléphone.
C’est là que ça devient intéressant. Si vous avez activé le verrouillage de sécurité sur votre appareil Android (code PIN, mot de passe ou schéma), votre Android se verrouille instantanément lorsque l’écran expire ou lorsque vous appuyez sur le bouton d’alimentation. Mais « instantanément » n’est pas toujours le cas : sur de nombreux appareils, l’écran s’éteint… sans que le téléphone soit réellement verrouillé. Il suffit d’appuyer sur le bouton pour retrouver l’écran d’accueil directement. Ce délai entre extinction de l’écran et verrouillage effectif peut grimper à plusieurs minutes selon votre configuration.
Dans un contexte marqué par des scandales relatifs aux vols de données, mieux vaut sécuriser son iPhone avec un code de verrouillage. Oui, c’est contraignant au quotidien. Mais vos mots de passe, vos photos, vos contacts et toutes vos données confidentielles ne seront pas exposés en cas de vol ou de perte. La CNIL elle-même pointe ce risque : le code de verrouillage sert à verrouiller l’accès au téléphone à chaque mise en veille, voire après un certain laps de temps d’inactivité. « Voire », ce petit mot cache une réalité inconfortable : si vous n’avez pas configuré ce délai, votre téléphone posé cinq minutes sur un bureau est techniquement accessible à n’importe qui.
Pourquoi les constructeurs jouent contre vous
Il est pratique de tout de suite bien régler son nouvel appareil Android, car par défaut, le délai avant la mise en veille de l’écran est particulièrement court, permettant aux constructeurs d’afficher de grandes performances d’autonomie, au détriment de la praticité d’utilisation et de l’ergonomie. : le réglage d’usine est pensé pour les benchmarks de batterie, pas pour votre sécurité.
Sur iPhone, le système d’exploitation mobile verrouille automatiquement l’écran après deux minutes d’inactivité par défaut. Sur Android, les valeurs varient selon les fabricants et les surcouches, le système vous proposant de personnaliser le délai de mise en veille avec des durées allant de 15 secondes à 30 minutes. Trente minutes. Ça fait dix-sept fois plus longtemps que ce que le titre évoque, et c’est une option réelle sur certains appareils. Quelqu’un qui ramasse votre téléphone posé sur une table a donc, dans le pire des cas, une demi-heure pour fouiller librement.
Ce n’est pas un scénario théorique. Quand il s’agit de smartphones, le code PIN à quatre chiffres est le choix le plus populaire. Malheureusement, même en ignorant les combinaisons catastrophiques comme « 1234 », « 1111 » ou « 7777 », les codes à quatre chiffres restent incroyablement faibles, puisqu’il n’existe que 10 000 combinaisons uniques possibles. Un écran déjà ouvert, c’est même plus la peine de chercher le code.
Ce que les nouveaux systèmes font (et ce qu’ils ne feront pas à votre place)
Google a clairement accéléré sur le sujet ces deux dernières années. Le Theft Detection Lock utilise une IA embarquée pour détecter des mouvements et un contexte pouvant indiquer un vol « à l’arraché ». Si une tentative de vol est détectée, l’appareil verrouille rapidement son écran pour protéger vos données. Dans Android 15, le Failed Authentication Lock a été lancé : une fonction qui verrouille automatiquement l’écran après un nombre excessif de tentatives d’authentification infructueuses. Cette fonction bénéficie désormais d’un interrupteur dédié dans les paramètres, offrant plus de contrôle granulaire sur la sécurité de votre appareil.
Identity Check empêche d’effectuer certaines actions sensibles sans s’authentifier d’abord avec la biométrie, garantissant qu’un voleur ne peut pas simplement vous observer taper votre mot de passe, puis voler votre téléphone pour prendre le contrôle de vos comptes et données. Apple a suivi une logique similaire avec sa Protection des appareils volés depuis iOS 17. Ce sont de bonnes nouvelles. Mais toutes ces protections ne valent rien si le téléphone n’est jamais réellement verrouillé au moment du vol.
Google a également revu sa protection contre le brute-force. Les attaquants n’ont désormais que sept essais en 15 minutes, ce qui réduit drastiquement leur fenêtre d’accès non autorisé. Ces 15 premières minutes après le vol représentent la période critique, quand l’attaquant a l’appareil en main mais n’a pas encore les identifiants. Mais si l’écran s’est éteint sans se verrouiller, cette fenêtre de 15 minutes n’existe même pas : le téléphone est déjà ouvert.
Deux minutes pour colmater la brèche
La manipulation est identique sur Android et iOS, et elle prend littéralement moins de 60 secondes. Sur Android : Paramètres, Sécurité, Verrouillage de l’écran, puis l’icône d’engrenage à côté de votre mode de verrouillage actuel. Vous trouverez « Verrouiller automatiquement » ou « Délai de verrouillage ». Mettez-le sur « Immédiatement » ou, si c’est trop contraignant dans votre quotidien, sur 30 secondes au maximum. Sur iPhone : Réglages, Face ID et code (ou Touch ID et code), puis « Exiger le code ». La valeur « Immédiatement » est la seule qui protège vraiment.
Désactiver Find My Device ou augmenter le délai de verrouillage de l’écran requiert désormais votre code PIN, votre mot de passe ou une authentification biométrique, ajoutant une couche de sécurité supplémentaire qui empêche les criminels ayant mis la main sur votre appareil de le maintenir déverrouillé. Google a donc rendu plus difficile le fait de saborder ce réglage. Autant en profiter pour le configurer correctement maintenant.
Un dernier élément à connaître, souvent ignoré même des utilisateurs avancés : la fonction Inactivity Reboot redémarre automatiquement votre appareil après 72 heures sans déverrouillage. Quand votre téléphone redémarre, il entre dans un mode plus sécurisé dit « avant le premier déverrouillage », où les données chiffrées sont « au repos » et inaccessibles sans le code d’accès. Cette option, disponible dans les paramètres de Protection avancée d’Android, représente un filet de sécurité supplémentaire pour un téléphone perdu depuis plusieurs jours, mais elle ne remplace pas un verrouillage automatique rapide au quotidien.
Sources : android.developpez.com | samsung.com