TL;DR : L’essentiel
- Le FBI a extrait des messages Signal entrants d’un terminal mobile saisi, bien que l’application ait été supprimée, en exploitant la base de données interne des notifications push d’Apple.
- Les autorités exploitent une friction technique entre la protection des données applicatives et le fonctionnement des alertes système, permettant de récupérer des contenus censés avoir disparu de l’interface utilisateur.
- Des gouvernements sollicitent auprès de Google et Apple les métadonnées associées aux jetons de notification, révélant ainsi les services utilisés et l’identité des comptes de manière confidentielle jusqu’alors.
L’application de messagerie sécurisée Signal, référence mondiale du chiffrement de bout en bout, voit son architecture de confidentialité contournée par les mécanismes de gestion des notifications des systèmes d’exploitation mobiles. Selon des témoignages recueillis lors d’un procès au Texas par 404 Media, le FBI est parvenu à extraire des copies de messages entrants pourtant supprimés d’un iPhone. Cette opération technique a été rendue possible car les aperçus des messages étaient conservés dans la base de données interne des notifications du terminal, une zone mémoire qui persiste même après la désinstallation de l’application de communication.
La persistance des données dans la mémoire interne d’iOS
Le mécanisme d’extraction forensique, nécessitant un accès physique à l’appareil et l’usage de logiciels spécialisés, met en lumière une vulnérabilité liée à l’affichage des notifications. Lorsqu’un utilisateur autorise l’apparition des aperçus sur son écran de verrouillage, le système d’exploitation d’Apple stocke automatiquement ces informations dans sa mémoire interne. Un agent spécial du FBI a confirmé lors d’une audition judiciaire que des messages configurés pour être éphémères avaient pu être récupérés alors qu’ils n’existaient plus au sein de l’application Signal elle-même. Cette faille concerne spécifiquement les messages entrants, les notifications sortantes n’étant pas sauvegardées suivant ce même processus par le système.
Une surveillance globale via les jetons de notification
Au-delà de l’accès physique aux terminaux, les autorités judiciaires s’intéressent massivement aux métadonnées transitant par les serveurs des géants de la technologie. Comme le rapporte WIRED, un sénateur américain a révélé que plusieurs gouvernements demandent régulièrement à Apple et Google de fournir des enregistrements liés aux notifications push. Ces requêtes visent les jetons de notification transmis via l’Apple Push Notification Service ou le Google Firebase Cloud Messaging. Ces identifiants uniques permettent de relier un compte utilisateur à l’usage d’une application précise et de déterminer la chronologie des interactions, facilitant l’identification des communications sans avoir à briser le chiffrement du contenu.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
En réaction à ces révélations, Apple a mis à jour ses directives de transparence, précisant que ces métadonnées peuvent désormais être obtenues par les forces de l’ordre via une assignation judiciaire ou un processus légal supérieur. Google a également confirmé l’intégration de ces types de requêtes dans ses rapports périodiques. Cette situation souligne l’importance pour les utilisateurs de configurer manuellement leurs paramètres de notification pour masquer tout contenu sensible, le système d’exploitation agissant ici comme un point de fuite de données malgré la robustesse des protocoles applicatifs.
FAQ : Sécurité et confidentialité des notifications Signal
Pourquoi des messages Signal supprimés restent-ils accessibles sur iPhone ?
Le stockage interne d’iOS conserve un historique des notifications push dans une base de données séparée de l’application. Si les aperçus sont activés, le contenu textuel du message entrant y est enregistré et peut être récupéré par une analyse forensique, même si le message original ou l’application ont été effacés.
Qu’est-ce qu’un jeton de notification et quel est le risque ?
Un jeton (push token) est un identifiant temporaire permettant aux serveurs d’Apple ou Google d’acheminer une notification vers le bon appareil. Les autorités peuvent exiger ces métadonnées pour identifier quelles applications un suspect utilise et avec quels comptes il communique, contournant ainsi le secret du chiffrement.
Comment protéger le contenu de ses messages sur l’écran de verrouillage ?
Il est recommandé de modifier les réglages de l’application Signal sous « Notifications > Contenu de la notification ». Sélectionner l’option « Sans nom ni contenu » empêche le système iOS de stocker des aperçus lisibles dans sa mémoire interne, limitant ainsi les risques en cas de saisie physique du matériel.
Pour approfondir le sujet
Signal : l'Allemagne alerte sur une cyberattaque étatique
Le renseignement et l'agence cyber allemands alertent : une campagne sur Signal vise politiques et militaires. Les pirates usurpent le support pour espionner. Lire la suite
Signal et WhatsApp : des acteurs russes ciblent des diplomates
Les services de renseignement néerlandais alertent sur une campagne de phishing russe ciblant Signal et WhatsApp pour subtiliser les accès de hauts fonctionnaires. Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
