Apple a déployé des mises à jour de sécurité d’urgence pour iPhone et iPad après avoir corrigé une vulnérabilité des services de notification qui pouvait laisser des notifications supprimées stockées sur un appareil plus longtemps que prévu — une faille qui a pu exposer le contenu d’applications de messagerie chiffrées telles que Signal.

Mise à jour hors cycle

Le bug, répertorié sous CVE-2026-28950, a été corrigé le 22 avril dans iOS 26.4.2 et iPadOS 26.4.2, ainsi que dans iOS 18.7.8 et iPadOS 18.7.8. Dans son bulletin de sécurité, Apple s’est contentée d’indiquer que « les notifications marquées pour suppression pouvaient être conservées de manière inattendue sur l’appareil », et a précisé que le problème avait été résolu via une meilleure rédaction des données.

Apple n’a pas indiqué si la faille avait été exploitée lors d’attaques, pourquoi elle a été traitée en dehors du cycle normal de mises à jour de la société, ni combien de temps les données de notification pouvaient rester accessibles. La société n’a pas non plus décrit comment les données conservées pouvaient être récupérées.

La chronologie de la correction intervient après des révélations de 404 Media décrivant un cas dans lequel le FBI a récupéré des messages Signal sur l’iPhone d’un suspect même après qu’ils avaient été supprimés dans l’application. Selon des notes de procès publiées par des soutiens des accusés, les messages n’auraient pas été extraits du stockage chiffré des messages de Signal. Ils auraient plutôt été récupérés à partir du stockage des notifications de l’iPhone, où les notifications entrantes auraient été préservées en mémoire interne même après la suppression de Signal.

L’avis d’Apple ne mentionne pas ce cas, mais sa description des notifications restant sur l’appareil correspond étroitement au type de persistance décrit dans le rapport.

Signal a ensuite remercié Apple pour sa réactivité. « Nous sommes reconnaissants envers Apple pour la rapidité de son action ici, et pour avoir compris et agi en fonction des enjeux d’un tel problème. Il faut un écosystème pour préserver le droit humain fondamental à la communication privée », a déclaré la société dans un communiqué public.

Il est fortement conseillé aux utilisateurs d’installer les dernières mises à jour dès que possible. Signal indique également que les utilisateurs peuvent réduire la probabilité que le contenu des messages soit stocké dans les données de notification d’iOS en modifiant Signal > Paramètres > Notifications > Contenu de la notification et en choisissant « Nom seulement » ou « Pas de nom ni de contenu ».

BleepingComputer a déclaré avoir contacté Apple pour obtenir un commentaire, mais n’avait pas encore reçu de réponse.

Sources :

bleepingcomputer.com