Des messages Signal supprimés ont été retrouvés intacts par le FBI depuis un iPhone confisqué. Non, pas en cassant le chiffrement de l'application, mais en exploitant une base de données souvent ignorée par les utilisateurs puisqu'elle n'est pas visible.
Non, ce n'est pas la messagerie Signal qui a été compromise. C'est iOS, ou plutôt, la manière dont Apple stocke les notifications push. Et c'est ce qui a permis à un enquêteur d'accéder à des messages privés.
Quand les notifications push deviennent un piège
L'affaire implique un groupe de personnes accusées d'avoir mis le feu à des feux d'artifice et commis des dégradations au centre de détention ICE Prairieland d'Alvarado, au Texas, en juillet dernier. Lors du procès, l'agent spécial du FBI Clark Wiethorn a témoigné sur des preuves numériques tirées du téléphone de Lynette Sharp, une prévenue qui a plaidé coupable d'aide matérielle à des activités terroristes. Signal avait pourtant été supprimé de l'appareil. Mais les messages, eux, étaient toujours là.
Mais alors, comment est-ce possible ? Quand un message Signal arrive sur un iPhone, le téléphone affiche une notification. Si les paramètres autorisent l'affichage du nom de l'expéditeur et du contenu sur l'écran de verrouillage, iOS enregistre automatiquement ces informations dans sa propre base de données interne. Et pour cette copie, Signal n'a aucun contrôle, d'autant qu'elle survit même après la désinstallation de l'application.
C'est donc cette base de données qu'un logiciel d'analyse forensique a permis d'exploiter. Ce type d'outil, utilisé lorsqu'un enquêteur dispose physiquement de l'appareil, peut lire la mémoire du système en profondeur, bien au-delà de ce qu'une navigation classique dans le téléphone permettrait de voir. Selon les notes d'audience consultées par 404 Media, seuls les messages entrants ont pu être récupérés, pas les envois.
Les messages "éphémères" ne sont pas épargnés
Cette faille n'épargne aucun message reçu, pas même les communications éphémères. Pour des mesures de confidentialité, Signal propose une option d'autodestruction. Les échanges disparaissent de l'application après un délai défini, de 30 secondes à plusieurs semaines. Ces messages avaient bien disparu. Mais puisque leurs notifications avaient été capturées par iOS avant leur effacement, le FBI a pu en lire le contenu comme si rien ne s'était passé.
Notons que ce comportement n'est pas propre à Signal. L'ensemble des messageries est finalement bridé par le gestionnaire des notifications d'iOS. Soulignons tout de même que Signal dispose bel et bien d'un réglage pour neutraliser ce risque. Dans les paramètres de l'application, section "Notifications", trois niveaux sont disponibles : nom, contenu et actions ; nom uniquement ; ou aucun nom ni contenu. La dernière option empêche tout aperçu d'apparaître dans les notifications, et donc tout stockage côté iOS.
Et la pratique est bien connue des enquêteurs. D'ailleurs il ne suffit pas d'avoir un accès physique au terminal. L'année dernière, Apple avait été sommée de transmettre des milliers de données relatives aux notifications push à plusieurs gouvernements, dont les États-Unis, le Royaume-Uni, l'Allemagne ou encore Israël.
