Un rapport récent de 404 Media révèle que l’FBI a réussi à récupérer des messages Signal supprimés sur un iPhone en extrayant des données conservées dans la base de données des notifications de l’appareil. Voici les détails.
L’historique des notifications accessible même après la suppression de Signal
Selon 404 Media, des témoignages lors d’un procès récent concernant un groupe de personnes ayant tiré des feux d’artifice et vandaliser des biens au centre de détention ICE Prairieland à Alvarado, au Texas, ont montré que l’FBI a pu retrouver le contenu de messages Signal entrants sur le téléphone d’un accusé, même après que Signal a été désinstallé :
Un des accusés, Lynette Sharp, avait plaidé coupable d’avoir apporté un soutien matériel à des terroristes. Lors d’une journée de procès connexe, l’agent spécial de l’FBI, Clark Wiethorn, a témoigné sur certaines des preuves collectées. Un résumé de l’Exhibit 158, publié sur le site web d’un groupe de supporters, précise que ‘des messages ont été récupérés sur le téléphone de Sharp via le stockage interne des notifications d’Apple — Signal avait été supprimé, mais les notifications entrantes étaient préservées en mémoire interne. Seuls les messages entrants ont été capturés (aucun message sortant).’
Comme le souligne 404 Media, les paramètres de Signal incluent une option qui empêche le contenu réel des messages d’apparaître dans les notifications. Cependant, il semble que l’accusée n’ait pas activé ce paramètre, ce qui a apparemment permis au système de stocker le contenu dans la base de données.
Comment fonctionne ce stockage interne ?
Sans détails techniques sur l’état exact du téléphone de l’accusée, il est difficile de déterminer précisément la méthode employée par l’FBI pour récupérer les informations.
En effet, un iPhone peut se trouver dans plusieurs États systèmes, chacun avec ses propres contraintes de sécurité et d’accès aux données, comme BFU (Before First Unlock) et AFU (After First Unlock), entre autres.
De plus, la sécurité et l’accès aux données varient considérablement lorsque l’appareil est déverrouillé, puisque le système suppose la présence de l’utilisateur et permet un accès à un plus large éventail de données protégées.
Il convient également de rappeler que le jeton utilisé pour envoyer les notifications push n’est pas immédiatement invalidé lorsque l’application est supprimée. Comme le serveur ne peut savoir si l’application est toujours installée après la dernière notification envoyée, il peut continuer à envoyer des notifications, laissant à l’iPhone le soin de décider s’il faut les afficher.
Curieusement, Apple vient de modifier la façon dont iOS valide les jetons de notifications push dans iOS 26.4. Bien qu’il soit impossible de dire si cela est une conséquence de cette affaire, le timing est en tout cas significatif.
De retour sur cette affaire, compte tenu de la description de l’Exhibit 158 selon laquelle les messages ‘ont été récupérés sur le téléphone de Sharp via le stockage interne des notifications d’Apple’, il est possible que l’FBI ait extrait les informations d’une sauvegarde de l’appareil.
Dans ce cas, de nombreux outils commercialement disponibles pour les forces de l’ordre exploitent les vulnérabilités d’iOS pour extraire des données qui auraient pu aider l’FBI à accéder à ces informations.
