Apple a déployé la mise à jour iOS 26.4.2 pour corriger une faille de sécurité permettant l'accès aux notifications supprimées d'applications tierces, dont Signal, comme l'a révélé Numerama. Cette vulnérabilité, exploitée par le FBI dans une affaire judiciaire récente, a suscité une vive réaction de la part de Signal, qui salue la réactivité d'Apple tout en soulignant l'importance de la protection des données utilisateurs.

Ce qu'il faut retenir

  • iOS 26.4.2 corrige une faille permettant l'accès aux notifications supprimées, notamment celles de l'application Signal, après suppression de l'application.
  • Les notifications générées par Signal, même supprimée, restaient conservées dans une base de données système indépendante, facilitant leur extraction par des outils forensiques.
  • La mise à jour supprime automatiquement les notifications conservées par erreur et empêche leur stockage futur, sans nécessiter d'action de l'utilisateur.
  • Le FBI avait exploité cette faille pour accéder à des données lors d'un procès impliquant une militante antifasciste, révélant l'affaire le 9 avril 2026.
  • Signal a publiquement remercié Apple pour sa réactivité, soulignant l'importance de cette correction dans un message publié sur la plateforme X.

Cette faille, identifiée dans iOS 26.4.1, concernait spécifiquement la gestion des notifications push par le système. Lorsqu'un message arrivait sur Signal, iOS affichait une notification sur l'écran verrouillé ou dans le centre de notifications, contenant le nom de l'expéditeur et un aperçu du message. Contrairement aux idées reçues, ces données n'étaient pas uniquement stockées par l'application Signal elle-même, mais également dans une base de données interne à iOS, indépendante de l'application.

Cette particularité technique a permis au FBI d'accéder aux métadonnées des messages, même après la suppression de l'application Signal du terminal. Une extraction forensique, combinant un accès physique à l'appareil et l'utilisation d'outils d'analyse spécialisés, rendait possible la récupération de ces informations résiduelles. Autant dire que cette vulnérabilité remettait en cause l'un des principaux atouts de Signal : la confidentialité des échanges.

L'affaire a pris une dimension publique le 9 avril 2026, lorsque des médias ont révélé comment le FBI avait pu collecter des preuves contre une militante antifasciste lors de son procès. Cette révélation a déclenché une vague de critiques envers Apple, accusé de ne pas suffisamment protéger les données de ses utilisateurs, y compris après la suppression des applications concernées. Face à cette pression, Apple a réagi promptement en déployant la mise à jour iOS 26.4.2, corrigeant ainsi le bug identifié.

« Nous remercions Apple pour sa réactivité et pour avoir compris et pris en compte les enjeux de ce type de problème. »
Signal, dans un message publié sur X le 22 avril 2026

Dans un avis de sécurité publié en parallèle de la mise à jour, Apple a confirmé que le bug permettait « aux notifications marquées pour suppression de rester conservées de manière inattendue sur l'appareil ». Cette admission publique a rassuré une partie des utilisateurs, inquiets de la possible exploitation de cette faille à grande échelle. Signal, de son côté, a rappelé que la protection des données de ses utilisateurs restait une priorité absolue, malgré les efforts constants de la messagerie pour sécuriser ses propres serveurs.

La correction apportée par iOS 26.4.2 est particulièrement notable, car elle ne nécessite aucune action de la part des utilisateurs. Une fois la mise à jour installée, toutes les notifications résiduelles stockées par erreur sont automatiquement supprimées. De plus, iOS empêchera désormais tout stockage futur des notifications des applications supprimées, mettant fin à ce risque de fuite de données involontaire. Pour installer cette mise à jour, les utilisateurs d'iPhone doivent se rendre dans l'application Réglages, puis dans Général > Mise à jour logicielle.

Et maintenant ?

Cette correction rapide d'Apple marque un tournant dans la gestion des notifications par iOS, mais elle soulève également des questions sur les mécanismes de stockage des données par les systèmes d'exploitation mobiles. Reste à voir si d'autres failles similaires seront identifiées dans les prochains mois, notamment dans un contexte où les autorités judiciaires cherchent de plus en plus à accéder aux données des utilisateurs, même après suppression des applications. Pour les utilisateurs de Signal, cette mise à jour est une bonne nouvelle, mais elle rappelle aussi l'importance de rester vigilant face aux mises à jour logicielles, qui peuvent parfois corriger des vulnérabilités critiques.

Cette affaire met également en lumière le rôle des messageries instantanées dans la protection des données personnelles. Signal, souvent citée en exemple pour son engagement en faveur de la vie privée, a vu sa crédibilité renforcée par cette correction opérée par Apple. Pour les autres acteurs du secteur, cette vulnérabilité rappelle la nécessité de renforcer les protocoles de sécurité, notamment pour les applications traitant des données sensibles.

Enfin, cette correction intervient dans un contexte où les relations entre les géants de la tech et les autorités judiciaires sont de plus en plus tendues. Les débats sur la sécurité nationale et la protection de la vie privée risquent de s'intensifier dans les mois à venir, notamment après des affaires comme celle-ci, où une faille technique a permis à une agence gouvernementale d'accéder à des données sans le consentement des utilisateurs.

Tous les iPhone fonctionnant sous une version antérieure à iOS 26.4.2 sont potentiellement concernés par cette faille. Pour vérifier si votre appareil est à jour, rendez-vous dans Réglages > Général > Mise à jour logicielle. Si une mise à jour est disponible, installez-la sans tarder.

La mise à jour iOS 26.4.2 supprime automatiquement les notifications résiduelles conservées par erreur. Aucune action supplémentaire n'est nécessaire de la part de l'utilisateur. Si vous avez des doutes sur la présence de données résiduelles, une réinitialisation complète de l'appareil peut être envisagée, bien que cela ne soit généralement pas requis.