Apple a publié une nouvelle mise à jour pour patcher en urgence une faille impactant la confidentialité sur iOS et iPadOS. Ce bug a pour incidence de conserver dans la mémoire de l’appareil des notifications supprimées : le FBI en a fait usage dernièrement pour récupérer des messages Signal.

La CVE-2026-28950 affecte les iPhone et les iPad

La firme de Cupertino a déployé le 22 avril 2026 des correctifs de sécurité “out-of-band”, c’est-à-dire en dehors du cycle habituel, afin de patcher une vulnérabilité située dans le service de notifications d’iOS et d’iPadOS. Associée à la référence CVE-2026-28950, elle permet la divulgation d’informations.

Dans son bulletin de sécurité, Apple mentionne simplement ceci : “Les notifications marquées pour suppression pourraient être conservées de manière inattendue sur l’appareil.”

Ce qui étonne, c’est qu’Apple n’apporte aucune précision :

• Cette vulnérabilité est-elle déjà exploitée par les cybercriminels ? Ce n’est pas précisé, mais le fait qu’un patch soit publié en urgence uniquement pour cette faille laisse penser que oui. Pourtant, en règle générale, Apple se montre transparent.
• Apple n’a pas apporté la moindre information technique supplémentaire : combien de temps les données de notifications pouvaient rester stockées ? Nous l’ignorons.

Mais il y a tout de même une explication à tout ça…

Le cas Signal : quand le FBI fouille dans les notifications

Dans le cadre d’une affaire judiciaire, le FBI est récemment parvenu à récupérer des copies de messages Signal sur l’iPhone d’un suspect, et ce, alors même que l’application de messagerie avait été désinstallée du téléphone.

Les notes du procès apportent d’ailleurs des précisions permettant de faire un lien entre cette méthode et cette faille de sécurité : “Les messages ont été récupérés sur le téléphone de Sharp via le stockage interne des notifications d’Apple — Signal avait été supprimé, mais les notifications entrantes étaient préservées dans la mémoire interne.”

Signal s’est d’ailleurs réjoui que cette faille de sécurité soit corrigée : “Nous sommes très heureux qu’Apple ait publié aujourd’hui un correctif et un avis de sécurité. Cette annonce fait suite à la révélation de @404mediaco selon laquelle le FBI aurait accédé au contenu des notifications de messages Signal via iOS, alors même que l’application avait été supprimée.”, peut-on lire sur X.

Pour les utilisateurs de Signal, c’est tout de même rassurant : les mécanismes de chiffrement pour le stockage des messages ne sont pas remis en cause, il s’agit bien d’une faiblesse au niveau du système de notifications Apple. Toutefois, nous sommes en droit de penser que cette faille peut permettre de récupérer d’autres informations via ce problème de notifications.

Comment se protéger ?

Pour éviter que le contenu de vos anciennes notifications ne traîne dans les entrailles de votre iPhone ou de votre iPad, il est recommandé d’installer les derniers patchs de sécurité publiés par Apple. Voici les nouvelles mises à jour publiées :

• iOS 26.4.2
• iOS 18.7.8
• iPadOS 26.4.2
• iPadOS 18.7.8.

Vous pouvez personnaliser la configuration de Signal pour éviter que le texte de vos messages ne transite par les notifications de l’iPhone. Ainsi, il n’y aura que le nom, voire même rien à part le fait qu’un nouveau message est arrivé.

Voici la marche à suivre depuis l’application Signal :

• Rendez-vous dans les “Paramètres” de Signal.
• Accédez à la rubrique “Notifications”, puis “Contenu des notifications“.
• Modifiez l’affichage pour sélectionner “Nom uniquement” ou “Aucun nom ou contenu”.

“Veuillez noter qu’aucune intervention n’est nécessaire pour que ce correctif protège les utilisateurs de Signal sur iOS. Une fois le correctif installé, toutes les notifications conservées par inadvertance seront supprimées et aucune notification future ne sera conservée pour les applications supprimées.”, précise Signal.

Source