.pkpass est le format de fichier qu’utilise Apple Wallet pour ses passes : cartes d’embarquement, cartes de fidélité, coupons, billets d’événement. Ce n’est ni une application ni une image. C’est une archive ZIP signée, avec une structure précise — et une fois que vous savez ce qu’elle contient, la plupart des questions sur les passes Wallet trouvent leur réponse d’elles-mêmes.
Pour une entreprise opérant en France, un second point s’ajoute au format lui-même : dès que des données à caractère personnel de vos clients — nom, e-mail, numéro client — figurent dans un pass, leur traitement relève du RGPD. Cela ne concerne pas le fichier en tant que tel, mais l’infrastructure en amont et en aval : où sont hébergées les données, qui les traite, et pendant combien de temps. Le format est identique chez tous les prestataires ; la conformité derrière ne l’est pas.
Ce que contient réellement un fichier .pkpass
Renommez un fichier .pkpass en .zip, décompressez-le, et vous trouverez un petit ensemble de fichiers. Quatre éléments comptent :
- pass.json — le pass lui-même. Champs, couleurs, code-barres, texte affiché au recto et au verso. C’est ici qu’une carte d’embarquement devient une carte d’embarquement et qu’une carte de fidélité café devient une carte de fidélité café.
- manifest.json — la liste de tous les fichiers de l’archive, avec un hachage SHA-1 pour chacun. C’est la feuille de contrôle qui prouve qu’aucune altération n’a eu lieu.
- signature — une signature cryptographique du manifeste, générée avec un certificat émis par Apple. C’est cet élément qui permet à Wallet de faire confiance au pass. Sans signature valide, pas de pass.
- Images — icon.png, logo.png, ainsi que les visuels de bandeau ou de vignette, généralement en résolution 1x, 2x et 3x pour s’adapter aux différents écrans.
C’est l’intégralité du paquet. Le design vit dans pass.json, les images se trouvent à côté, et le manifeste plus la signature servent à prouver que l’ensemble est authentique et n’a pas été modifié. Un conteneur délibérément sobre et vérifiable.
Faut-il un compte Apple Developer pour en créer un
Réponse courte : oui pour en créer, non pour en recevoir.
C’est le fichier de signature qui impose le compte. Il doit être produit avec un certificat Pass Type ID, que l’on obtient uniquement via un compte Apple Developer, facturé 99 USD par an. Sans ce certificat, vous pouvez assembler parfaitement tous les autres fichiers : Wallet refusera quand même le pass, car il ne peut pas vérifier qui l’a émis.
Vos clients n’ont besoin de rien de tout cela. Le compte développeur est une exigence pour l’émetteur — l’entreprise qui crée et signe les passes —, pas pour la personne qui ajoute un pass sur son téléphone. Elle appuie simplement sur Ajouter. Le travail de certification se fait une seule fois, de votre côté, bien avant qu’un pass n’atteigne qui que ce soit.
.pkpass face à un pass Wallet générique
On parle souvent de «pass Wallet» de façon approximative, mieux vaut donc clarifier les choses. Un fichier .pkpass est spécifiquement le format d’Apple. Google Wallet fonctionne selon un mécanisme entièrement différent, basé sur des objets de pass définis via son API plutôt que sur un fichier signé à télécharger.
Un fichier .pkpass est donc un type de pass Wallet parmi d’autres — celui d’Apple. Si vous développez pour les deux plateformes, vous produisez un fichier .pkpass Apple et un objet Google Wallet à partir des mêmes données, pas un fichier unique qui fonctionne partout. Le principe reste le même pour le client, mais deux chemins techniques différents se cachent derrière.
Quelques méthodes concrètes pour inspecter un pass avant de le mettre en production :
- Sur iPhone ou Mac, un double-tap ou l’ouverture directe du fichier affiche l’aperçu Wallet, exactement comme un client le verrait.
- Pour voir le détail, renommez le fichier en .zip, décompressez-le et ouvrez pass.json dans un éditeur de texte quelconque. C’est le moyen le plus rapide de vérifier les champs, les couleurs et les valeurs de code-barres.
- Pour valider la signature, l’outil signpass d’Apple ainsi que divers validateurs de pass en ligne indiquent si le manifeste et le certificat sont corrects. Un pass qui s’affiche parfaitement sur votre propre appareil peut tout de même échouer chez d’autres si la signature est défaillante.
La plupart de ceux qui ont besoin de passes Wallet ne veulent jamais toucher à pass.json, gérer un certificat de signature, ou déboguer un hachage de manifeste. Ils veulent une carte que leurs clients peuvent ajouter, qui se met à jour quand les données changent. Le format est un moyen, pas une fin.
Vous n’avez pas à toucher au format .pkpass. Pushwoosh se charge de la signature et de l’empaquetage ; vous concevez la carte, nous livrons le reste. Vos données sont traitées dans une infrastructure certifiée ISO 27001:2022 et SOC 2 Type I, conforme au RGPD, avec des centres de données en UE. Voir Wallet Passes.
FAQ
Pas nativement. .pkpass est le format d'Apple, et Google Wallet sur Android ne le lit pas directement. Certaines applications tierces peuvent en importer un, mais l'approche multiplateforme la plus propre consiste à émettre un pass Google Wallet en parallèle du pass Apple, généré à partir des mêmes données.
Non. Une application est un logiciel qui s'exécute sur le téléphone ; un fichier .pkpass est un fichier de données qui réside dans Wallet, sans code propre. Rien à installer depuis l'App Store, rien qui s'exécute. Il affiche des informations et se met à jour quand l'émetteur modifie les données — et c'est tout ce qu'il fait.