Les spécialistes russes de la récupération de données Elcomsoft ont fait une nouvelle découverte qui met au jour une faille chez Apple. Quand on supprime des notes depuis l’application du même nom, celles-ci ne le sont pas réellement : elles sont en effet stockées dans un dossier spécifique, Suppressions récentes, sorte d’antichambre en attendant la suppression définitive au bout de 30 jours (Apple documente ce comportement dans cette note). Ce n’est pas sans rappeler Photos, où le principe est similaire, même si le délai de grâce peut être un peu plus long.

Malgré l’assurance d’Apple que ces notes seront « définitivement supprimées », il existe une faille. Elcomsoft a pu en effet récupérer sur un iPhone plus de notes qu’il n’en présentait : 334 notes précisément, alors que le smartphone n’en contenait que 288, y compris en comptant celles du dossier Suppressions récentes. Sur un autre compte, les chercheurs ont retrouvé la trace de notes qui avaient été supprimées il y a des années (jusqu’en 2015 !).

L’extraction de notes supprimées n’est toutefois pas une science exacte, mais comme on le voit il y a un défaut dans la déchiqueteuse virtuelle d’Apple. Pour récupérer des notes, il faut utiliser Phone Breaker d’Elcomsoft, télécharger les données synchronisées depuis iCloud, s’identifier avec les identifiant et mot de passe du compte (ou avoir sous la main un jeton d’authentification binaire provenant de l’ordinateur de l’utilisateur). Il est aussi possible de consulter les notes supprimées avec Phone Viewer, qui est un autre logiciel Elcomsoft.

Nul doute toutefois qu’Apple va rapidement boucher cette faille, comme cela avait été le cas en septembre dernier avec ce bug — découvert là aussi par les fins limiers d’Elcomsoft — qui touchait les sauvegardes iTunes trop faciles à déchiffrer.