Le FBI a extrait de manière forensique des messages Signal supprimés de la base de données de notifications push d’un iPhone dans un procès pour terrorisme, exposant une faille que les utilisateurs d’iOS ignoraient.
Le FBI a réalisé quelque chose que la plupart des utilisateurs de Signal pensaient impossible. Des agents ont récupéré de manière forensique des messages Signal supprimés de l’iPhone d’un accusé — non pas depuis l’application elle-même, mais depuis un recoin caché d’iOS qui stocke discrètement les données de notifications push, selon un rapport de 404 Media citant plusieurs témoins présents lors du témoignage du FBI.
L’affaire concernait un groupe accusé d’avoir vandalisé le centre de détention ICE Prairieland à Alvarado, Texas, en juillet, et une personne ayant tiré sur un policier à la nuque. Elle marquait également la première poursuite en vertu de la désignation de « l’Antifa » comme organisation terroriste par le président Trump. Signal avait déjà été supprimé de l’appareil. Cela n’a pas eu d’importance.
Ce que le FBI a trouvé sous leurs yeux
La base de données des notifications push sur iPhone stocke le contenu des messages entrants jusqu’à un mois. Chaque application de messagerie qui envoie des notifications est concernée. Comme IntCyberDigest l’a noté sur X, « le stockage des notifications conserve les données de toutes les applications de messagerie — c’est une grande faille dans iOS. »
C’est cette faille que les agents ont exploitée. Un logiciel forensique spécialisé, exécuté avec un accès physique à l’appareil, a extrait directement le contenu des messages de cette base de données. Signal dispose bien d’un paramètre qui empêche le contenu d’apparaître dans les notifications push. L’accusé ne l’avait apparemment pas activé.
IntCyberDigest a également confirmé sur X qu’il existe un moyen de désactiver ce stockage. La plupart des utilisateurs ignorent son existence.
Durov renvoie à 2013
Pavel Durov n’est pas resté silencieux. Le PDG de Telegram a répondu directement à l’histoire du FBI sur X à @durov, écrivant que les Discussions Secrètes de Telegram n’ont jamais affiché le contenu des messages dans les notifications push — et que ce choix de design remonte à 2013. Il a qualifié les Discussions Secrètes de « moyen de communication utilisable le plus sécurisé » et est allé plus loin, en remettant en question l’infrastructure de Signal.
Durov a déclaré que Signal, financé par le gouvernement américain, comporte « trop de dépendances douteuses envers d’autres entreprises américaines » — citant spécifiquement AWS, Microsoft et Intel SGX. Sa publication a présenté l’approche de Telegram comme une décision architecturale délibérée, et non comme une réflexion après coup.
Durov s’est déjà exprimé auparavant sur la surveillance et la portée des gouvernements. Il a quitté la France plus tôt cette année sous contrôle judiciaire aménagé suite à son arrestation en août 2024 pour des accusations liées aux pratiques de modération de contenu de Telegram.
Ce que cela signifie pour les utilisateurs de Signal
Le chiffrement de bout en bout de Signal lui-même n’a pas été compromis. Les messages n’ont pas été interceptés en transit. Ils se trouvaient dans un système iOS distinct qui gère les notifications — une base de données hors du contrôle de Signal, sauf si les utilisateurs désactivent manuellement les aperçus de notifications.
La fonctionnalité pour bloquer le contenu des messages dans les notifications push existe dans les paramètres de Signal. Elle n’est simplement pas activée par défaut. Et le contexte plus large des récentes actions de Durov contre la pression de la surveillance gouvernementale suggère que cet écart entre la conception et les paramètres par défaut est exactement le genre de chose qui fait prendre les gens.
L’affaire du Texas est une première. Mais la méthode forensique qu’elle a exposée est disponible pour les forces de l’ordre depuis un certain temps. Les utilisateurs qui pensaient que la suppression signifiait l’effacement viennent d’apprendre le contraire.
Laisser un commentaire