À cause du « mode Isolement » de l’iPhone, le FBI n’a pas pu déverrouiller l’iPhone d’une journaliste du Washington Post

 (404media.co)
1 points par GN⁺ 2026-02-05 | 1 commentaires | Partager sur WhatsApp
  • Un iPhone avec le mode Isolement activé a empêché le FBI d’effectuer une analyse forensique de l’appareil saisi, selon des documents judiciaires
  • L’iPhone de la journaliste du Washington Post était allumé au moment de la saisie, mais le mode Isolement empêchait toute extraction de données
  • Les documents du gouvernement indiquent que la Computer Analysis Response Team (CART) du FBI n’a pas réussi à extraire les données de cet iPhone
  • Le mode Isolement a été conçu à l’origine pour se défendre contre les spywares hautement ciblés, mais il s’avère aussi limiter l’accès forensique physique
  • Ce cas montre que les fonctions de sécurité avancées d’Apple peuvent bloquer l’accès numérique des forces de l’ordre et illustre la course entre le renforcement de la sécurité mobile et la forensique des autorités

Aperçu de l’affaire

  • Le domicile de Hannah Natanson, journaliste au Washington Post, a été perquisitionné par le FBI en janvier 2026 dans le cadre d’une enquête sur une fuite d’informations classifiées
  • L’enquête est liée aux accusations visant le prestataire gouvernemental Aurelio Perez-Lugones, soupçonné de détenir et de transmettre des informations classifiées
  • Le gouvernement estime que Perez-Lugones était la source ayant fourni des informations classifiées à Natanson

Appareils saisis et résultat de l’accès

  • Les appareils saisis comprenaient un iPhone 13, deux MacBook Pro, un disque dur externe et un enregistreur
  • L’iPhone était allumé et en charge, avec l’indication « Lockdown Mode » affichée à l’écran
  • Selon les documents judiciaires, il est explicitement indiqué que « CART n’a pas pu extraire les données de cet iPhone à cause du mode Isolement »
  • Après la saisie, le FBI est resté plus de deux semaines sans pouvoir accéder à l’iPhone

Signification technique du mode Isolement

  • Le mode Isolement réduit au minimum la surface d’attaque d’iOS en limitant les pièces jointes dans Messages, le rendu web, les connexions FaceTime, etc.
  • Lors d’une connexion à un appareil externe, le déverrouillage de l’appareil est obligatoire
  • Il bloque les principales voies d’accès des outils forensiques reposant sur une connexion physique comme Graykey et Cellebrite
  • Le CEO de la société de forensic numérique Garrett Discovery a déclaré que « de nombreuses techniques d’enquête avancées sont bloquées par le mode Isolement »

Biométrie et déverrouillage forcé sur le plan juridique

  • Le mandat de perquisition incluait l’autorisation d’utiliser de force les empreintes digitales et la reconnaissance faciale pour déverrouiller les appareils
  • Natanson n’utilisait pas l’authentification biométrique sur son iPhone, et une telle tentative était de toute façon impossible en mode Isolement
  • En revanche, le second MacBook Pro a été déverrouillé avec succès via l’empreinte digitale

Données auxquelles l’accès a été possible

  • Le FBI a récupéré sur le MacBook Pro déverrouillé des photos et des enregistrements vocaux de conversations dans l’app Signal
  • Toutefois, même pour cet ordinateur portable, une image physique complète (full physical image) n’a pas encore pu être obtenue

Course à la sécurité entre autorités et plateformes

  • Il a aussi été rapporté qu’en 2024, Apple a modifié l’iPhone pour qu’il redémarre automatiquement après une longue période d’inactivité
  • Cela fait passer l’appareil à l’état BFU (Before First Unlock), ce qui accroît la difficulté du travail forensique
  • Ce cas est présenté comme un exemple concret du renforcement de la sécurité logicielle qui fonctionne sur le terrain des enquêtes réelles

Position officielle

  • Apple et le Washington Post n’ont pas répondu aux demandes de commentaire
  • Le FBI a refusé tout commentaire officiel sur cette affaire

À lire aussi

1 commentaires

 
GN⁺ 2026-02-05
Avis Hacker News
  • Lien d’archive de l’article original
  • Il faut se rappeler qu’on peut vous forcer à utiliser Touch ID, mais pas vous contraindre à fournir un mot de passe
    Selon ce tweet connexe, le FBI a accédé à des messages Signal sur le MacBook professionnel de la journaliste Hannah Natanson en utilisant Touch ID. Comme l’ordinateur autorisait l’authentification via Touch ID, ils pouvaient légalement exiger son déverrouillage
    • Je partage le lien miroir Twitter, afin de ne pas soutenir directement une plateforme détenue par un certain milliardaire
    • La commande de réglage de veille du MacBook proposée auparavant pour un autre problème aide aussi ici
      Voir le lien explicatif. Quand l’ordinateur portable est fermé ou passe en veille, il écrit la RAM sur le disque puis s’éteint complètement. La reprise est plus lente, mais l’authentification par empreinte digitale n’est pas autorisée au premier déverrouillage, ce qui permet de conserver une sécurité de niveau cold boot
    • Si l’on ne fournit pas le mot de passe, on peut être détenu jusqu’à 18 mois pour outrage au tribunal (contempt)
      Cas connexe
    • Nos droits ne relèvent pas du droit naturel ; il faut se battre pour qu’ils soient respectés par l’État
    • Je me demande si la connaissance du doigt utilisé bénéficie de la même protection qu’un mot de passe
      Les forces de l’ordre peuvent physiquement forcer quelqu’un à poser un doigt, mais on a peut-être le droit de refuser de révéler lequel fonctionne. Après quelques essais ratés, l’appareil se verrouille et demande le mot de passe. C’est pour ça que je plaisante en disant que je ferais mieux d’utiliser le nez de mon chien
  • Le Lockdown Mode d’Apple est frustrant parce qu’il est trop « tout ou rien »
    Je voudrais pouvoir n’activer que certaines fonctions, comme le blocage des appels FaceTime d’inconnus, la désactivation des aperçus de liens ou le blocage des connexions d’appareils externes quand le téléphone est verrouillé, sans subir les autres restrictions. Ce serait bien de pouvoir activer ou désactiver individuellement des options plus fines.
    Par exemple, désactiver le JIT JavaScript nuit aux performances web et à l’autonomie. Les albums partagés et l’installation de polices personnalisées sont aussi bloqués. Cette absence de paramètres de sécurité granulaires affaiblit au contraire la sécurité
    • Je comprends aussi la frustration liée aux albums partagés. Je n’ai réalisé que plus tard qu’on ne pouvait pas voir l’album familial avec Lockdown Mode activé. J’ai dû le désactiver temporairement pour partager des photos, puis le réactiver.
      Les demandes Screen Time ne fonctionnent pas non plus. Les notifications arrivent, mais on ne peut pas y répondre.
      Je comprends pourquoi Apple l’a conçu en mode tout ou rien — si un seul réglage risqué est autorisé, tout le modèle de sécurité s’effondre.
      Cela dit, le pire inconvénient est qu’on ne sait pas forcément si un problème vient de Lockdown Mode, ce qui oblige souvent à l’activer et le désactiver sans cesse
    • Cela veut dire qu’on ne peut pas non plus modifier les profils en Lockdown Mode. Les profils existants restent en place
    • Les albums familiaux fonctionnent dans Lockdown Mode. On peut aussi lever les restrictions web par application et par site
    • La désactivation du JIT JavaScript dans le navigateur sert plutôt à rappeler que « naviguer sur le web avec un smartphone était déjà une mauvaise idée à la base »
  • C’est dommage que l’application de bureau Signal de la journaliste ait été compromise. La version desktop est bien plus vulnérable dès que l’ordinateur tombe entre les mains d’un attaquant
    • Quelqu’un demande une explication concrète de pourquoi Signal sur desktop est moins sûr
    • Si les messages sensibles ne sont pas configurés en suppression automatique, cela ne vaut guère mieux que de simples SMS
    • Pour une journaliste de ce niveau, j’aurais pensé qu’elle respectait une hygiène de sécurité élémentaire. J’espère que cet incident servira d’avertissement à d’autres journalistes
    • La conclusion de l’article me semble douteuse. Est-ce qu’ils n’ont vraiment pas pu déverrouiller l’iPhone, ou bien avaient-ils déjà obtenu tout ce qu’il leur fallait via la synchronisation iCloud ? S’ils avaient déjà l’ordinateur portable, ils avaient sans doute aussi iMessage, l’historique des appels et les données iCloud ; alors pourquoi viser le téléphone en plus ?
    • Je me demande aussi si le chiffrement de disque comme BitLocker ou FileVault a été contourné, ou s’ils ont simplement accédé à la machine alors qu’elle était déjà démarrée
  • Je me demande si le fait que Lockdown Mode ait bloqué l’attaque implique qu’avec des réglages de sécurité plus faibles, le gouvernement aurait pu s’introduire
    Avec Advanced Data Protection, on peut protéger les données iCloud par E2EE, et Face ID peut être forcé, mais un passage en mode PIN via cinq pressions sur le bouton d’alimentation ne peut pas être imposé légalement.
    Si Lockdown Mode a bloqué l’attaque, cela veut-il dire que le gouvernement disposait d’un zero-day inefficace contre le mode PIN ?
    • Le gouvernement utilise surtout des spywares comme Pegasus du NSO Group
    • Oui
  • La journaliste dit qu’elle « n’utilise pas la reconnaissance d’empreinte », mais l’ordinateur s’est déverrouillé quand les enquêteurs ont posé son doigt dessus, ce qui est étrange
    • Elle l’avait probablement configurée auparavant puis oubliée. Il est aussi possible qu’elle l’ait enregistrée pendant la configuration initiale
    • Si c’est vraiment le cas, l’avait-elle donc enregistrée dans le passé ? Je me demande comment l’empreinte a pu être reconnue
    • Un commentaire demande aussi pourquoi cela serait étrange
    • Si aucune empreinte n’avait été enregistrée, la reconnaissance serait tout simplement impossible. Même en cas d’erreur du capteur, cela ne déverrouillerait pas l’appareil par défaut
  • La formule « Lockdown Mode est une fonctionnalité qui rend le piratage plus difficile » est intéressante
    Si une fonctionnalité consiste à désactiver des fonctionnalités, ne vaudrait-il pas mieux simplement parler de paramètre ?
    La plupart des utilisateurs d’iPhone ne changent pas les réglages par défaut. Si Google paie des milliards à Apple, c’est aussi à cause du moteur de recherche par défaut.
    Lockdown Mode n’est pas activé par défaut et presque personne ne l’utilise.
    Si ce mode rend l’iPhone plus sûr, cela signifie que les réglages par défaut facilitent en fait le piratage
    • Lockdown Mode est une protection destinée à une petite minorité, comme les journalistes ou les défenseurs des droits humains, susceptibles d’être ciblés par des attaques de type Pegasus.
      Blocage des pièces jointes dans les messages, des FaceTime d’inconnus, restrictions dans Safari : pour l’utilisateur moyen, les inconvénients sont importants.
      Le mettre par défaut n’est donc pas réaliste, et cela n’aiderait pas beaucoup la sécurité du grand public
    • Réduire la surface d’attaque peut aussi signifier moins de collecte de données et moins de suivi publicitaire, ce qui pourrait affecter les revenus d’Apple.
      C’est peut-être aussi pour cela que ce n’est pas le réglage par défaut
  • Dans certaines régions, Face ID est plus sûr que l’empreinte digitale. Il ne déverrouille pas l’appareil si les yeux sont fermés
    Dans certains pays d’Europe, on peut obliger quelqu’un à poser son doigt, mais forcer quelqu’un à garder les yeux ouverts est illégal
    • Certains rétorquent toutefois avoir déjà vu Face ID fonctionner sur le visage de quelqu’un qui dormait
  • Devoir activer tout Lockdown Mode pour protéger les connexions d’appareils externes est inefficace
    Je ne connecte mon iPhone à rien d’autre qu’à l’alimentation.
    S’il existait un simple « mode de protection des accessoires externes », je l’activerais immédiatement, mais Apple avertit alors que « l’appareil ne fonctionne plus comme d’habitude »
    • À partir d’iOS 26, dans Privacy & Security > Wired Accessories, on peut faire en sorte que l’iPhone demande toujours l’autorisation à chaque connexion d’un nouvel appareil
    • GrapheneOS n’autorise par défaut que l’alimentation quand l’appareil est verrouillé, et grâce à un blocage matériel, il est totalement immunisé contre les outils d’attaque USB
    • En réalité, n’importe qui pouvait déjà mettre cela en place depuis 2014 avec Pair Lock/Supervise
      Voir cet article de 2014 et ce guide récent
    • Le chemin exact est Settings > Privacy & Security > Wired Accessories, où l’on peut choisir de demander à chaque fois lors de la connexion d’un nouvel accessoire
    • Le plus gros problème reste que l’absence de réglages de sécurité granulaires pousse les utilisateurs à renoncer à leur sécurité