Apple a déployé des mises à jour de sécurité urgentes pour les appareils iPhone et iPad afin de corriger une vulnérabilité dans les services de notification. Ce problème permettait à des notifications destinées à être supprimées de rester stockées sur le dispositif.
Identifiée sous le nom de CVE-2026-28950, cette faille a été corrigée le 22 avril 2026 dans les versions iOS 26.4.2 et iPadOS 26.4.2, ainsi que iOS 18.7.8 et iPadOS 18.7.8.
Le bulletin de sécurité d’Apple indique que « les notifications marquées pour suppression pouvaient être retenues de manière inattendue sur l’appareil ».
La société a précisé que la vulnérabilité a été résolue grâce à une amélioration de la réduction des données, sans donner davantage de détails. Apple n’a pas clarifié si cette vulnérabilité avait été exploitée lors d’attaques ni pourquoi elle a été publiée en dehors du cycle de mise à jour de sécurité habituel. Les détails techniques concernant la durée de conservation des données de notification ou la possibilité de récupération de celles-ci n’ont pas été révélés.
Un article de 404 Media a récemment rapporté comment le FBI a récupéré des copies de messages Signal à partir d’un iPhone d’un suspect, même après leur suppression dans l’application. Selon des notes de procès publiées par les soutiens des accusés, les données récupérées n’émanait pas de la base de données de messages chiffrés de Signal, mais provenaient du stockage de notifications de l’iPhone.
Les notes stipulent : « Des messages ont été récupérés depuis le téléphone de Sharp via le stockage de notifications interne d’Apple — Signal avait été supprimé, mais les notifications entrantes ont été conservées dans la mémoire interne. »
404 a également signalé que les données de notification étaient conservées même après la désinstallation de Signal sur l’appareil. Bien que l’avis d’Apple ne fasse pas mention de cette affaire, sa description concernant la conservation de notifications sur l’appareil semble correspondre au type de persistance des données évoqué dans ce rapport.
Les utilisateurs sont encouragés à installer les dernières mises à jour le plus rapidement possible pour éviter la conservation inattendue de données de notifications supprimées sur leurs dispositifs.
De plus, pour empêcher la conservation des messages Signal dans le stockage de données de notification sur iOS, il est recommandé de se rendre dans les Paramètres de Signal > Notifications > Contenu des Notifications et de régler Afficher sur « Nom seulement » ou « Aucun nom ni contenu ».
BleepingComputer a tenté de contacter Apple au sujet de ces mises à jour, mais n’a pas encore reçu de réponse.
