Selon une enquête publiée par 404 Media, le FBI serait parvenu à récupérer le contenu de messages Signal supprimés à partir des données stockées dans la base interne des notifications d’un iPhone.
Des notifications conservées après la suppression de Signal
D’après 404 Media, un témoignage intervenu lors d’un procès lié à « a group of people setting off fireworks and vandalizing property at the ICE Prairieland Detention Facility in Alvarado, Texas » décrit une extraction de données effectuée sur l’iPhone d’une accusée, alors même que Signal avait été désinstallé.
Le résumé de l’Exhibit 158, publié sur un site de soutien (source), indique que des messages ont été « recovered from Sharp’s phone through Apple’s internal notification storage ». Le document précise que seules les notifications entrantes auraient été récupérées, sans accès aux messages sortants.
La personne citée est Lynette Sharp, qui a précédemment plaidé coupable dans une affaire distincte, mentionnée par le Department of Justice (source).
Le rôle des aperçus de messages dans iOS
Signal propose un réglage destiné à empêcher l’affichage du contenu des messages dans les notifications. 404 Media indique que cette option ne semblait pas activée dans le cas évoqué, ce qui aurait permis à iOS de conserver dans sa base de notifications des éléments incluant le texte reçu.
Le média précise avoir sollicité Signal et Apple, sans obtenir de commentaire sur le traitement et le stockage des notifications.
Ce que l’on sait, et les limites techniques
Faute d’éléments techniques détaillés sur l’état exact de l’iPhone examiné, la méthode d’extraction ne peut pas être établie avec précision. Les contraintes d’accès aux données varient notamment selon l’état de l’appareil, par exemple en mode BFU (Before First Unlock) ou AFU (After First Unlock).
- Cache local : iOS conserve et met en cache différentes données localement, avec des niveaux de protection qui dépendent des états de verrouillage.
- Notifications push : le jeton utilisé pour l’envoi des notifications push ne serait pas nécessairement invalidé immédiatement lors de la suppression d’une app, ce qui peut conduire à la poursuite d’envois côté serveur, l’iPhone décidant ensuite de les afficher ou non.
- Piste de la sauvegarde : au vu de la formulation « Apple’s internal notification storage », 404 Media évoque aussi la possibilité d’une extraction via une sauvegarde de l’appareil, au moyen d’outils utilisés par les forces de l’ordre.
L’article complet est disponible chez 404 Media.
