Apple corrige une vulnérabilité qui exposait des messages Signal Apple corrige une vulnérabilité iOS qui permettait de récupérer des messages Signal via les notifications et invite les utilisateurs à mettre à jour.
Une vulnérabilité iOS, identifiée sous la référence CVE-2026-28950, a été corrigée par Apple après la découverte que des notifications marquées pour suppression pouvaient être conservées sur l’appareil. Cette vulnérabilité rendait théoriquement possible l’accès à des informations contenues dans les notifications, y compris des éléments liés à l’application Signal. Apple a publié une mise à jour d’urgence pour iPhone et iPad afin d bloquer l’extraction de données et d’empêcher de futures expositions via les notifications, en précisant avoir adopté une méthode plus robuste pour que ces notifications ne soient plus accessibles.
La faille visait aussi bien iOS 26 et iPadOS 26 que iOS 18 et iPadOS 18, ce qui signifie que l’ensemble des utilisateurs concernés par ces versions doivent appliquer les dernières mises à jour pour se protéger. Le message émis par Apple reste factuel: la sécurité de l’appareil passe désormais par une gestion des notifications plus sûre et la suppression des données potentiellement exposées lors d’opérations ultérieures.
Ce qui a été corrigé pour la vulnérabilité iOS Signal et comment
Selon l’éditeur, la cause était que les notifications marquées pour suppression pouvaient être conservées de manière inattendue dans la mémoire interne de l’appareil. La correction s’appuie sur une méthode qui empêche l’accès non autorisé à ces données et garantit que les notifications marquées pour suppression ne restent pas accessibles après les opérations de nettoyage. La mise à jour est recommandée pour les appareils fonctionnant sous iOS 26, iPadOS 26, ainsi que iOS 18 et iPadOS 18.
Apple rappelle que les utilisateurs n’ont pas d’autre action nécessaire que d’effectuer la mise à jour du système d’exploitation. Une fois le correctif installé, les notifications conservées par inadvertance seront supprimées et aucune nouvelle notification ne sera conservée pour les applications supprimées.
Contexte et implications pour Signal et le FBI
Si Apple ne détaille pas les circonstances exactes de l’observation initiale, des révélations relayées par 404 Media indiquent que le FBI aurait exploité la base de données de notifications d’un iPhone pour récupérer des messages Signal, même après la suppression de l’application et sa désinstallation. Ce contexte a nourri une attention accrue sur la manière dont les notifications affichent des métadonnées et des fragments de messages sur l’écran de verrouillage.
« Nous sommes très heureux qu’Apple ait publié aujourd’hui un correctif et un avis de sécurité. Cette annonce fait suite à un article de 404 Media révélant que le FBI avait pu accéder au contenu des notifications de l’application Signal via iOS, alors même que l’application avait été supprimée », explique l’équipe de Signal dans un message sur Mastodon.
Pour Signal, l’épisode confirme une vulnérabilité potentielle affectant non seulement Signal, mais aussi d’autres applications de messagerie chiffrée qui s’appuient sur les notifications. Le recours à des éléments affichés sur l’écran de verrouillage peut exposer des métadonnées et, dans certains cas, des fragments de conversation. L’équipe de Signal précise que les utilisateurs sur appareils Apple n’ont pas d’action autre que la mise à jour, et elle souligne que, après le correctif, les notifications conservées seront supprimées et aucune notification future ne sera conservée pour les applications supprimées.
Pour terminer
Cette affaire met en lumière l’importance de la sécurité des notifications sur mobile. Apple a réagi rapidement avec un correctif, mais elle rappelle aussi que la vigilance reste de mise quant à la manière dont les applications gèrent les notifications et leurs données affichées sur l’écran de verrouillage. La vigilance des éditeurs et des utilisateurs doit continuer, notamment sur les paramètres de notification et les choix de rangement des données sensibles.
Source : Next INK
