Récemment, un rapport publié par 404 Media a révélé comment le FBI a réussi à récupérer des messages supprimés de l’application Signal sur un iPhone. Cette découverte soulève d’importantes questions sur la sécurité des données sur les appareils mobiles et la fiabilité des applications de messagerie. Voici un aperçu des événements qui se sont déroulés autour de cette affaire.
Récupération de notifications via le stockage interne
Selon 404 Media, lors d’un récent procès impliquant des actes de vandalisme à Alvarado, Texas, il a été révélé que des messages entrants de l’application Signal ont été récupérés d’un iPhone, malgré la désinstallation de l’application :
Un des prévenus, Lynette Sharp, ayant précédemment plaidé coupable pour support matériel à des terroristes, a été au cœur de cette affaire. L’agent spécial du FBI, Clark Wiethorn, a témoigné que des messages avaient été récupérés grâce au stockage interne de notifications d’Apple. Bien que Signal ait été supprimé, les notifications entrantes étaient toujours présentes dans la mémoire interne. Toutefois, seules les messages entrants ont pu être récupérés.
Il est important de noter que Signal propose une option pour ne pas afficher le contenu des messages dans les notifications. Cependant, il semble que l’accusée n’ait pas activé cette fonctionnalité, ce qui a permis aux systèmes de conserver cette information dans leur base de données.
Contactés par 404 Media, Signal et Apple n’ont pas commenté la gestion ou le stockage des notifications.
Storage interne et sécurité des données
Sans connaître les détails techniques précis de l’iPhone concerné, il devient complexe de déterminer la méthode exacte utilisée par le FBI pour extraire ces données.
Les iPhones peuvent se trouver dans plusieurs états selon la sécurité et les accès aux données, tels que BFU (Before First Unlock) ou AFU (After First Unlock). Ces différents états jouent un rôle crucial dans la protection des informations.
Une fois déverrouillé, l’accès aux données est plus large, car le système considère que l’utilisateur est présent et autorise une plus grande manipulation des informations sensibles.
De plus, iOS conserve une quantité significative de données en local, en pensant que les différents états de sécurité garantissent leur protection tout en les rendant disponibles à son propriétaire légitime.
Un autre point fondamental : le jeton utilisé pour envoyer des notifications n’est pas immédiatement invalidé lors de la suppression d’une application. Ainsi, les serveurs peuvent continuer à envoyer des notifications, laissant à l’iPhone le choix de les afficher.
Il est également donné que la dernière mise à jour d’iOS, 16.4, a modifié la validation des jetons de notification. Bien qu’on ne puisse pas établir de lien direct avec cette affaire, le timing reste intrigant.
Revenons à l’affaire : la description fournie par l’exposé 158 indiquant que les messages ont été récupérés via le stockage interne d’Apple suggère que le FBI a pu extraire ces données d’une sauvegarde du dispositif.
Dans ce cas, plusieurs outils commerciaux sont utilisés par les forces de l’ordre pour exploiter les vulnérabilités d’iOS et obtenir des données, ce qui aurait potentiellement facilité l’accès à ces informations.