Dans une affaire jugée récemment au Texas, le FBI a récupéré des messages envoyés sur la messagerie Signal depuis un iPhone dont l’application avait été supprimée, en exploitant la base de données de notifications interne d’iOS. Un détail de configuration a rendu la chose possible, comme l’indique 404 Media.

Signal Logo

iOS cache ce que l’utilisateur croit avoir effacé

L’une des accusées, Lynette Sharp, qui a plaidé coupable pour soutien matériel à des terroristes dans le cadre d’une affaire de dégradations au centre de détention de la police de l’immigration (ICE) d’Alvarado au Texas, n’avait pas activé le réglage de Signal qui masque le contenu des messages dans les notifications. Ainsi, les messages entrants ont été stockés en clair dans la mémoire interne de l’iPhone. Seuls les messages reçus ont pu être récupérés, pas les messages envoyés. L’agent spécial du FBI Clark Wiethorn a témoigné de ces éléments lors du procès.

Le mécanisme tient à un comportement propre à iOS : le token utilisé pour envoyer des notifications n’est pas invalidé immédiatement lorsqu’une application est désinstallée. Le serveur, ignorant si l’application est toujours présente sur le smartphone, continue d’envoyer des notifications. iOS décide ensuite de leur sort et peut conserver leur contenu en cache localement. Cette logique repose sur l’hypothèse que les différents états de verrouillage de l’appareil, comme BFU (Before First Unlock), AFU (After First Unlock) et d’autres, suffisent à protéger ces données.

La méthode exacte employée par le FBI reste inconnue, faute de détails techniques sur l’état de l’iPhone au moment de l’extraction. Une extraction depuis une sauvegarde de l’appareil, via des outils commerciaux d’investigation numérique exploitant des failles de sécurité iOS, reste une hypothèse plausible.

iOS 26.4 change les notifications

Hasard de calendrier (ou pas), Apple a modifié la façon dont iOS valide les tokens de notifications dans iOS 26.4. Il est impossible d’établir un lien direct avec cette affaire dans l’immédiat, mais la coïncidence mérite d’être notée. Si ce changement colmate effectivement la faille exploitée ici, Apple l’a fait sans le dire.