Le nouveau gestionnaire de mots de passe gratuit d'Apple déçoit les experts en sécurité

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 19 août 2025 à 11h22

Le nouveau gestionnaire de mots de passe d'Apple pour iOS 18 défie 1Password et LastPass. S'il est gratuit et intégré, il manque de fonctionnalités essentielles, selon les professionnels.

Mots de passe d'Apple ne convainc pas les experts en cybersécurité ! © Apple

Présentée lors de la WWDC édition 2024, l'application Mots de passe d'Apple est disponible sur iPhone, iPad et MacOS. Allan Camps, Senior Enterprise Account Executive chez Keeper Security, a testé le nouveau gestionnaire de la firme à la pomme, et son constat reste mitigé : « Le nouveau gestionnaire de mots de passe d'Apple séduit par sa simplicité, mais ne répond pas aux normes établies par les solutions spécialisées », analyse-t-il d'emblée.

Un code PIN faible expose vos identifiants Apple

Allan Camps a vite identifié le problème principal de l'application gratuite Apple. « Elle s'ouvre selon les mêmes méthodes que celles utilisées pour déverrouiller l'appareil : code d'accès, Face ID ou Touch ID », explique l'expert. La décision architecturale du géant américain signifie qu'un code PIN faible, comme une date d'anniversaire, compromet instantanément tous vos mots de passe. « Un code d'accès simple ou prévisible peut suffire à compromettre l'accès à tous les mots de passe enregistrés », avertit Allan Camps.

L'expert de Keeper Security déplore l'absence criante de protection supplémentaire. Là où les gestionnaires professionnels exigent un mot de passe maître distinct et proposent une authentification renforcée dédiée, Apple fait l'impasse. « En l'absence d'un mot de passe principal dédié ou d'une authentification à deux facteurs renforcée, le niveau global de protection est affaibli », analyse-t-il. Les gestionnaires de mots de passe concurrents adoptent en majorité une architecture dite « zero-knowledge », qui garantit que même l'éditeur ne peut accéder aux données.

Cette approche minimaliste se retrouve partout dans l'application. Il est par exemple impossible de personnaliser les paramètres de génération des mots de passe, et impossible de stocker autre chose que des identifiants basiques. L'application Apple « ne permet pas de stocker d'autres types de données sensibles telles que des documents, des photos ou des informations bancaires. Elle se limite aux mots de passe, aux clés d'accès et aux codes 2FA », précise Allan Camps.

Un écosystème verrouillé et une incompatibilité qui peut rebuter

L'expert est encore plus critique concernant la comptabilité. « L'une des principales faiblesses de l'application est sa compatibilité. Elle ne peut être utilisée que dans l'écosystème Apple », regrette-t-il. Forcément, cette limitation transforme le partage sécurisé en parcours du combattant dès qu'un collègue utilise Android ou Windows. « Il est donc impossible de partager un mot de passe avec une personne utilisant Android ou Windows de manière simple et sécurisée. »

Même l'accès sur PC Windows révèle des complications inattendues. Allan Camps détaille les conditions contraignantes : activation obligatoire du 2FA, installation d'iCloud, ajout d'extensions navigateur, versions système minimales requises. « Ce qui rend l'expérience moins fluide », conclut-il sobrement. Pour les entreprises qui jonglent entre différentes plateformes, cette rigidité devient rédhibitoire face aux solutions multiplateformes du marché.

Le verdict final d'Allan Camps résonne comme un avertissement aux utilisateurs exigeants. « Pour ceux qui recherchent un contrôle accru sur leur sécurité numérique, une compatibilité plus large et des fonctionnalités plus avancées, cette solution reste trop limitée. » L'absence totale d'assistance dédiée achève de creuser l'écart avec les gestionnaires professionnels, qui proposent support spécialisé et ressources détaillées. Apple mise tout sur la simplicité, mais selon l'expert de Keeper Security, ce pari se fait bien au détriment de la sécurité et de la flexibilité.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Cybersécurité

Tutos Apple

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Comparer

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Poster mon commentaire

Commentaires (7)

Hanandano

C’est selon les « experts en sécurité » (j’imagine cybersec) ou « les professionnesl » ? Allan Camps travaille pour un concurrent, c’est pas un peu baroque de s’appuyer sur ses déclarations pour déclarer que « les experts » ou « les professionnels » on serait pas un peu dans l’emphase pour pas grand chose ?
Ceci dit certaines remarques font sens (le lock in), d’autres moins (le zero knowledge par exemple).

Edit : Alors Alan Camps est un commercial… donc bon. [Tribune] Keeper Security - Apple s'attaque-t-il au marché de la gestion des mots de passe ? - La Bulle des entrepreneurs - Esteval et sa tirade date de AOUT 2024. non ???

Aucune trace d’une expertise quelconque en sécurité.

TLDR : un commercial d’un concurrent donne son avis non qualifié sur Apple Passwords, ça va vous surprendre spoiler il trouve que c’est pas dingue et si on insiste un peu il dira que la solution qu’il vend est mieux

La décision architecturale du géant américain signifie qu’un code PIN faible, comme une date d’anniversaire, compromet instantanément tous vos mots de passe.

C’est en partie faux. Apple a intégré une features qui permet de ne pas permettre l’accès à des informations importantes sans utiliser Touch ID ou Face ID. About Stolen Device Protection for iPhone - Apple Support donc ce n’est pas une décision architecturale mais au pire un problème de réglage.

Face ID or Touch ID biometric authentication: Some actions such as accessing stored passwords and credit cards require a single biometric authentication with Face ID or Touch ID — with no passcode alternative or fallback — so that only you can access these features.

Francis7

Les particuliers sont plus inquiets de retrouver leurs mots de passe qu’inquiétés par des hackers. Et puis la solution des navigateurs n’est pas si mal pour la portabilité et la synchronisation entre les appareils…

eagle6

Le gestionnaire repose sur l’identification de l’utilisateur, effectivement, si le mot de passe maitre est 1234, le gestionnaire ne protège pas les mots de passe qu’il contient . Je rejoins @Hanandano la dessus, la critique est formulée par un intérêt « concurrent » dont on peut douter de l’objectivité…
Apple fourni ce service « gracieusement » à tous ses utilisateurs, pour ceux qui veulent une protection militaire, il y a des softs tiers et payants pour ça

Hanandano

Oui et ça c’est valable pour tous les gestionnaires. Si le mdp maître est pas unique ou trop simple. Nomduchien1980!!

Nehi

ne permet pas de stocker d’autres types de données sensibles telles que des documents, des photos ou des cinformations bancaires. Elle se limite aux mots de passe, aux clés d’accès et aux codes 2FA »

C’est un gestionnaire de mot de passe, pourquoi des documents ou photos auraient à y être ? Plutôt utiliser iCloud avec l’option chiffrage activée

Et au passage, Windows Hello autorise aussi l’utilisation d’un PIN à 4 chiffres pour débloquer tous les mots de passe et ça ne semble pas poser de problème.

sebbu

Et personne ne dit que le gestionnaire de mots de passe d’appeler est le seul gestionnaire NATIF qui supporte le 2fa… google chrome supporte pas, edge/wallet non plus, firefox non plus…
Et tu peux le protéger par une clé de sécurité physique, mais ils disent que c irréversible donc j’ai pas testé.

Hanandano

C’est un peu le problème quand tu recopies une tribune d’un an et que tu contextualises pas. Mais balec c’est clubic. Tant qu’ils n’auront pas mis un système pour signaler les énormités (et que les auteurs boudent le forum, bonjour le respect des lecteurs, enfin ça leur est bien rendu) faudra faire avec. Heureusement qu’on peut rire sous les articles.