Apple corrige la faille iOS qui permettait au FBI de lire vos messages Signal supprimés

Par: Michael Korgs | aujourd'hui, 14:48

Apple a publié iOS 26.4.2 et iPadOS 26.4.2 le 22 avril 2026 pour corriger une faille de sécurité sérieuse : le système iOS conservait en cache les aperçus de messages Signal même après suppression de l'application ou activation des messages éphémères. Aux États-Unis, le FBI a exploité cette faille pour récupérer des messages d'un suspect dans une affaire criminelle, à l'aide d'outils de forensique commerciaux. Tous les iPhone et iPad — y compris ceux utilisés en France — étaient concernés.

La faille

Le problème ne venait pas du chiffrement de Signal, qui est resté intact. La faiblesse se situait ailleurs : à chaque réception d'un message, iOS en crée automatiquement une copie pour l'afficher sur l'écran de verrouillage. Ces aperçus étaient stockés dans une base de données interne (NotificationCenter) bien après que les messages aient été supprimés — et même après désinstallation complète de l'application.

Des agents du FBI ont pu extraire ces données directement depuis la mémoire de l'appareil, selon 404 Media, qui a révélé l'affaire en premier. Seuls les messages entrants étaient concernés : les messages envoyés par l'utilisateur sont gérés différemment par le système et n'étaient pas stockés de la même façon.

La réponse d'Apple

Apple a reconnu le problème dans ses notes de mise à jour, évoquant « une erreur de journalisation et une rédaction insuffisante des données dans les services de notification ». En clair : le système gardait des informations qu'il aurait dû effacer immédiatement. La correction, détaillée par TidBITS, améliore les mécanismes de suppression des données pour que ces aperçus ne persistent plus une fois le message effacé.

Pour les utilisateurs d'une version plus ancienne, Apple a également publié iOS 18.7.8 et iPadOS 18.7.8.

Ce qu'on retient

Cette affaire rappelle qu'une application chiffrée n'est pas suffisante si le système d'exploitation conserve des traces à son niveau. Signal propose d'ailleurs une option pour empêcher l'affichage du contenu des messages dans les notifications : dans Paramètres > Notifications > Contenu des notifications, choisir « Aucun nom ni contenu ».

La mise à jour est disponible dès maintenant dans Réglages > Général > Mise à jour logicielle. Il est conseillé de l'installer sans attendre, même si on n'a rien à se reprocher : ce type de vulnérabilité peut concerner n'importe quel utilisateur, pas seulement les cibles d'enquêtes judiciaires.