Le FBI a réussi à récupérer des messages Signal supprimés, même après la suppression de l'application, grâce aux notifications iOS qui stockent des métadonnées. Cette découverte a été révélée dans un article de 404 Media du 9 avril 2026. L'histoire commence le 4 juillet 2024 à Alvarado, au Texas, près du centre de rétention ICE de Prairieland. Un groupe a lancé des feux d'artifice sur le bâtiment, endommagé des installations et blessé un policier. Cette affaire a pris une dimension politique car c'était la première fois que des suspects étaient poursuivis pour des activités "antifa" depuis la classification du mouvement comme organisation terroriste intérieure par Donald Trump en septembre 2024. Plusieurs personnes, dont Lynette Sharp, ont été inculpées pour leur implication dans ces événements.
Au cours du procès, le FBI a présenté des preuves extraites d'un téléphone où l'application Signal avait été supprimée avant la saisie. Il s'agit d'échanges provenant de Signal, une application réputée pour son chiffrement de bout en bout par défaut sur tous les messages et appels. Contrairement à une faille de sécurité ou à une porte dérobée, cette récupération a été rendue possible grâce à la manière dont iOS gère les notifications push.
Ce qu'il faut retenir
- Les messages Signal peuvent être récupérés même après la désinstallation de l'application grâce aux métadonnées stockées par les notifications iOS.
- Les notifications push enregistrées par Apple ont permis de contourner le chiffrement de bout en bout de Signal sans nécessiter d'implantation de porte dérobée par le FBI.
- Pour limiter ce risque, il est recommandé de désactiver le contenu des notifications pour éviter que le nom ou le contenu des messages ne soit exposé.
Quand un message est reçu sur Signal, une notification contenant le nom de l'expéditeur et un aperçu du message est générée par le téléphone, même lorsque l'écran est verrouillé. Ces données de notification sont sauvegardées par Apple dans une base de données distincte du système, persistant même après la suppression de l'application. Ainsi, une extraction forensique avec un accès physique à l'appareil et un logiciel spécialisé permet de retrouver ces métadonnées. Il est important de souligner que seuls les messages reçus sont concernés, car les messages envoyés ne passent pas par ce processus.
Il est à noter que même les conversations configurées pour disparaître automatiquement peuvent laisser des traces dans les notifications. Cette affaire n'est pas un cas isolé, car les notifications push ont déjà été utilisées comme élément de preuve par le passé. En juin 2024, Apple avait transmis des données issues de milliers de notifications à plusieurs gouvernements dans le cadre de demandes légales.
