Un rapport publié par 404 Media révèle que le FBI a pu récupérer des messages Signal supprimés d’un iPhone en extrayant des données stockées dans la base de données des notifications du dispositif. Voici les détails.
Historique des notifications récupéré malgré la suppression de Signal
Selon 404 Media, des témoignages lors d’un procès récent impliquant un groupe de personnes ayant tiré des feux d’artifice et vandalisé des biens au centre de détention ICE Prairieland à Alvarado, Texas, ont montré que le FBI était en mesure de récupérer le contenu de messages Signal entrants à partir de l’iPhone d’un accusé, malgré la suppression de l’application :
Une des accusées, Lynette Sharp, qui a précédemment plaidé coupable d’avoir fourni un soutien matériel à des terroristes, a été au centre des déclarations de l’agent spécial du FBI, Clark Wiethorn, concernant les éléments de preuve collectés. Un résumé de l’exposition 158 publié sur le site des partisans indique que « des messages ont été récupérés depuis le téléphone de Sharp grâce au stockage interne de notifications d’Apple — Signal avait été supprimé, mais les notifications entrantes étaient préservées dans la mémoire interne. Seuls les messages entrants ont été capturés (aucun sortant). »
Comment fonctionne ce stockage interne ?
Avec peu ou pas de détails techniques concernant l’état exact de l’iPhone de l’accusé, il est impossible de préciser la méthode exacte utilisée par le FBI pour récupérer les informations.
Par exemple, un iPhone peut se trouver dans divers états système, chacun ayant ses propres contraintes de sécurité et d’accès aux données, comme BFU (Before First Unlock) ou AFU (After First Unlock). De plus, la sécurité et l’accès aux données changent encore plus radicalement lorsque l’appareil est déverrouillé, car le système suppose que l’utilisateur est présent et permet d’accéder à une gamme plus large de données protégées.
Il est également important de noter que le jeton utilisé pour envoyer des notifications push n’est pas immédiatement invalidé lors de la suppression d’une application. Étant donné que le serveur n’a pas de moyen de savoir si l’application est toujours installée après la dernière notification envoyée, il peut continuer à pousser des notifications, laissant à l’iPhone le soin de décider s’il faut les afficher.
Il est intéressant de noter qu’Apple a récemment modifié la manière dont iOS valide les jetons de notifications push dans iOS 26.4. Bien qu’il soit impossible de dire si cela est lié à ce cas précis, le timing reste remarquablement significatif.
En revenant au cas, étant donné la description de l’exposition 158 selon laquelle les messages ont été récupérés depuis le téléphone de Sharp par le biais du stockage interne des notifications d’Apple, il est possible que le FBI ait extrait les informations à partir d’une sauvegarde de l’appareil. Dans ce cas, il existe de nombreux outils commercialement disponibles pour les forces de l’ordre qui exploitent des vulnérabilités d’iOS pour extraire des données.
