Apple fait savoir qu’iOS 26.4.2, disponible au téléchargement sur iPhone, vient boucher une faille de sécurité en lien avec les notifications de l’iPhone. Il se trouve que le FBI a déjà exploité la vulnérabilité.

iOS 26 Logo

Une faille avec les notifications et les messages de l’iPhone

La faille de sécurité a pour identifiant CVE-2026-28950. Apple explique que les notifications marquées pour suppression pouvaient être conservées de manière inattendue sur l’appareil. Un problème lié à la journalisation a été résolu grâce à une amélioration du masquage des données. Apple en a aussi profité pour boucher la vulnérabilité sur iOS 18.7.8 pour les anciens appareils.

Le FBI a justement été en mesure de récupérer des messages envoyés sur la messagerie Signal depuis un iPhone dont l’application avait été supprimée. Cela fut possible en exploitant la base de données de notifications interne d’iOS.

Concrètement, quand un message arrive sur un iPhone, son contenu passe par le système de notifications d’Apple avant d’être affiché, puis est conservé localement par iOS selon les réglages de notification. Dans cette affaire, les enquêteurs ont exploité cette couche système avec des outils d’analyse pour retrouver des messages reçus, mais pas les messages envoyés car ceux-ci ne transitent pas par la même voie de stockage.

Avec iOS 26.4.2 et iOS 18.7.8, Apple vient bloquer cette méthode. Il n’y a pas d’autre correctif de sécurité avec ces deux mises à jour. Par ailleurs, Apple dit que les mises à jour apportent des correctifs, mais il n’y a pas plus de détails à ce sujet.