Cloudflare Zero Trust sur iPhone : le guide complet 2026
Comment utiliser une techno conçue pour les entreprises pour blinder ton iPhone perso — gratuitement, en 30 minutes, sans rien casser. Et surtout : comment éviter les pièges qui transforment une configuration "max sécu" en téléphone inutilisable.
WARP de Cloudflare, tu connais peut-être : c'est leur VPN gratuit, intégré dans l'app Cloudflare One Agent (anciennement 1.1.1.1). Ce que beaucoup ignorent, c'est qu'au-dessus de WARP, Cloudflare propose Zero Trust — leur produit pro pour entreprises — qui est gratuit jusqu'à 50 utilisateurs.
Concrètement, ça veut dire que tu peux configurer pour toi tout seul le même filtrage anti-malware, anti-phishing, anti-cryptomining utilisé par des boîtes de 50 personnes. Et tout passe par ton iPhone, sans logiciel à installer ailleurs.
Voilà comment je l'ai configuré sur mon iPhone 14 cette semaine, avec les vraies étapes et les vrais pièges.
1. Pourquoi tu veux ça (et pourquoi WARP seul ne suffit pas)
WARP tout seul te donne :
- Un tunnel chiffré vers Cloudflare ✅
- Du DNS over HTTPS (vie privée DNS) ✅
- Une vitesse souvent meilleure que ta connexion brute (avec WARP+) ✅
Mais WARP ne filtre pas les menaces. Si tu cliques sur un lien de phishing dans un SMS d'arnaque, WARP te laisse y aller.
Zero Trust en revanche, te permet de définir tes propres règles de filtrage DNS : malware, phishing, command & control, cryptomining, spyware, scam… tout est bloqué avant même que ton navigateur n'essaie de charger le site.
2. Créer ton organisation Zero Trust (gratuit)
Étapes côté ordinateur (le dashboard Zero Trust est lourd et bugue souvent sur mobile) :
- Va sur one.dash.cloudflare.com
- Connecte-toi avec ton compte Cloudflare (ou crée-en un — email + mot de passe)
- Choisis un team name (nom d'équipe). Cloudflare le génère automatiquement (genre
plain-pine-9c0f) ou tu peux mettre le tien. - Plan : Free. C'est suffisant pour un usage perso et jusqu'à 50 personnes.
3. Créer ta règle de filtrage DNS anti-menaces
C'est la règle qui fait tout le boulot.
- Menu de gauche → Traffic policies → Firewall policies → onglet DNS
- Bouton Add a policy
- Configuration :
- Policy name :
Blocage menaces - Selector : Security Categories
- Operator : in
- Value : coche All security risks (sélectionne tout d'un coup : Malware, Phishing, Command & Control, Cryptomining, Spyware, Scam, Spam, DGA, DNS Tunneling, etc.)
- Action : Block
- Policy name :
- Toutes les options à droite (TLS inspection, Modify gateway block behavior, etc.) → laisse OFF. C'est là que les gens cassent tout (voir section pièges plus bas).
- Create policy
4. Créer la règle d'inscription d'appareil
Sans cette règle, ton iPhone ne pourra pas s'inscrire dans ton organisation. C'est la cause numéro 1 de l'erreur « enrollment request invalid ».
- Menu de gauche → Team & Resources → Devices → Management → Enrollment
- Create new policy
- Configuration :
- Rule name :
Moi - Include → Selector Emails → ton email (ou plus simple : Everyone si tu es seul sur le compte)
- Action : Allow
- Session duration : 1 month (pour ne pas avoir à se reconnecter constamment)
- Rule name :
- Save — et vérifie bien que la règle apparaît dans la liste sous l'onglet Policies.
⚠️ Piège : si tu cliques sur l'onglet Login methods et que tu sauvegardes avant d'avoir ajouté la règle aux Policies, Cloudflare affiche « Save Device enrollment with no assigned rules? ». Clique Add a rule (et pas Save without rules) sinon ton iPhone restera bloqué.
5. Activer toutes les méthodes de connexion
Sur la même page (Device enrollment permissions), onglet Login methods :
- Active « Accept all available identity providers » (interrupteur sur ON)
- Laisse « Apply instant authentication » sur ON
- Save
Ça t'évitera d'avoir à configurer un fournisseur d'identité externe — tu te connectes simplement par un code à usage unique envoyé sur ton email.
6. Connecter ton iPhone
Sur l'iPhone, depuis l'App Store, installe Cloudflare One Agent (Cloudflare, Inc., logo orange). Si tu avais l'ancienne app 1.1.1.1, supprime-la après installation de la nouvelle.
- Ouvre Cloudflare One Agent
- Active le tunnel (gros interrupteur central) → autorise la config VPN quand iOS demande
- ⚙️ Réglages → Account → Login with Cloudflare Zero Trust
- Team name : celui que tu as choisi sur le dashboard (ex.
plain-pine-9c0f) - Un email de connexion (One-time PIN) arrive → tape le code
- Statut dans l'app : Zero Trust ✅
7. Vérifier que tout marche
Sur Safari de l'iPhone, ouvre cloudflare.com/cdn-cgi/trace. Cherche ces deux lignes :
warp=on
gateway=onSi tu vois les deux sur on → ton iPhone est officiellement en Zero Trust, et ton trafic DNS est filtré par tes règles. 🎯
Pour aller plus loin, teste un domaine malveillant : malware.testcategory.com. Tu dois voir une page de blocage Cloudflare (ou ton navigateur dit que le site est inaccessible — c'est aussi un signe que le DNS est bloqué).
8. Les 3 pièges qui font tout planter (à éviter absolument)
1. TLS / HTTP inspection activée sans installer le certificat → ton iPhone refuse toutes les connexions HTTPS. La plupart des sites cassent. Laisse cette option désactivée sauf si tu sais installer un certificat de confiance sur iOS.
2. « Lock WARP switch » → tu te verrouilles toi-même. Si jamais Zero Trust ne se connecte plus pour une raison X, tu n'as plus d'internet sur ton iPhone. Garde cette option désactivée.
3. Règle « Block all » trop large → tu bloques l'internet entier. Évite les actions « Block » sur des selectors larges (genre Content Categories → All). Reste sur Security Categories.
Et la suite ?
Avec cette configuration, ton iPhone est mieux protégé que 99 % des téléphones autour de toi. Les SMS de phishing, les liens malveillants dans Telegram, les URL d'arnaque dans les emails — tout est bloqué automatiquement avant même que ton navigateur ne tente de charger la page.
Pour aller plus loin :
- Ajouter une règle de blocage des publicités et trackers (Content Categories → Advertising & Marketing → Block)
- Activer Always-on WARP pour que le tunnel ne s'interrompe jamais
- Pour les usages où tu veux changer de pays (Netflix US, etc.), Cloudflare WARP ne peut pas — il faut un VPN classique en complément.
🌍 Pour le changement d'IP / pays — Mullvad VPN
Cloudflare WARP ne change pas ton pays. Si tu veux pouvoir basculer ton trafic dans un autre pays (anonymat, contournement, streaming), Mullvad VPN est le choix le plus respectueux : 5 € par mois fixe, aucune création de compte (juste un numéro de compte généré aléatoirement), paiement possible en cash anonyme. C'est le VPN de référence des chercheurs en sécurité.
Découvrir Mullvad VPNTu peux faire tourner Zero Trust + Mullvad sur ton iPhone, mais iOS n'autorise qu'un VPN actif à la fois. Choisis lequel basculer selon ton usage : Zero Trust au quotidien (filtrage menaces), Mullvad ponctuellement (anonymat, changement de pays).