De nombreuses personnes utilisent l’application Signal pour envoyer et recevoir des messages chiffrés. Il est possible de configurer la suppression automatique de tous les messages après un certain délai. Mais ces protections sont moins efficaces s’il existe une faille sous-jacente dans le système d’exploitation de votre appareil. C’est exactement ce qui s’est produit, et c’est pourquoi Apple a dû intervenir.
Une faille discrète dans le gestionnaire de notifications iOS
Cette semaine, Apple a publié sa dernière mise à jour mineure pour iOS (et iPadOS). Les notes de version d’iOS/iPadOS 26.4.2 ne mentionnent qu’une seule vulnérabilité corrigée.
La raison de cette mise à jour réside dans le fonctionnement de Signal et dans la manière dont les autorités fédérales ont réussi à contourner sa sécurité.
L’affaire Lynette Sharp : comment le FBI a contourné le chiffrement de Signal
Lors d’un procès fédéral conclu le mois dernier, plusieurs personnes ont été inculpées et reconnues coupables d’avoir tiré des feux d’artifice et vandalisé les locaux d’un centre de rétention de l’ICE. L’une des accusées, Lynette Sharp, avait utilisé Signal sur son iPhone avant de désinstaller l’application.
Signal chiffre vos messages, mais iOS conservait vos notifications
Au cours du procès, un agent du FBI a témoigné que l’agence avait pu accéder aux messages Signal reçus par Lynette Sharp, car des copies de leur contenu avaient été enregistrées dans la base de données des notifications push de son téléphone.
Normalement, un message reçu via Signal déclenche une notification push sur votre téléphone. Cette notification vous alerte de la réception du message et affiche par défaut le nom de l’expéditeur ainsi qu’une partie du contenu. Dans Signal, il est possible de modifier ce paramètre pour n’afficher que le nom de la personne, ou bien de ne faire apparaître ni nom ni contenu.
Paramètres de notification Signal : une configuration par défaut aux lourdes conséquences
Il s’avère que Lynette Sharp avait laissé les paramètres de notification de Signal par défaut. Cela signifiait que les noms et les contenus partiels des messages qu’elle avait reçus (mais pas ceux qu’elle avait envoyés) étaient toujours stockés et accessibles en raison de cette faille d’iOS, ce qui a permis au FBI de récupérer certains messages reçus sur son téléphone.
« Nous avons appris que sur les iPhone spécifiquement, si les paramètres de l’application Signal autorisent l’affichage des notifications et des aperçus de messages sur l’écran de verrouillage, l’iPhone stocke en interne ces notifications et aperçus dans la mémoire interne de l’appareil », a rapporté 404 Media.
iOS 26.4.2 : un correctif silencieux mais critique pour la confidentialité
Bien qu’Apple n’ait pas encore reconnu publiquement que l’incident soit à l’origine d’iOS 26.4.2, Signal a été transparent à ce sujet en remerciant Apple pour ce correctif et a explicitement mentionné l’accès du FBI au contenu des notifications de messages.
Aucune action requise, mais la mise à jour s’impose
« Le bulletin de sécurité d’Apple confirme que les bugs ayant permis cela ont été corrigés dans la dernière version d’iOS », a indiqué Signal. « Aucune action n’est nécessaire pour que ce correctif protège les utilisateurs de Signal sur iOS. Une fois la mise à jour installée, toutes les notifications conservées par inadvertance seront supprimées, et aucune notification à venir ne sera conservée pour les applications désinstallées. Nous sommes reconnaissants envers Apple pour la rapidité de son action et pour avoir compris les enjeux de ce type de problème. »
Bien que ce correctif ait vraisemblablement été déployé en réponse à l’incident Signal, la mise à jour devrait également empêcher que cette faille n’affecte d’autres applications de messagerie. Pour obtenir cette dernière mise à jour sur votre iPhone ou iPad, rendez-vous dans Réglages, sélectionnez Général, appuyez sur Mise à jour logicielle, puis sur le bouton pour mettre à jour maintenant. Une fois la mise à jour installée, redémarrez votre appareil.
Source:
www.zdnet.fr
