Peu de menaces sur les smartphones suscitent autant d’inquiétude que les logiciels espions Pegasus et Predator. Ce sont des outils conçus pour la furtivité et l’extraction d’informations sensibles, notamment les messages, les contacts, la géolocalisation et les données des microphones, des caméras. Aujourd’hui, avec le déploiement d’iOS 26, une trace médico-légale clé qui a longtemps aidé les enquêteurs à suivre ces intrusions est en train d’être modifiée. Ce changement a de graves implications pour les professionnels de la criminalistique et les utilisateurs quotidiens.
Les chercheurs en iVerify sécurité ont signalé que la mise à jour vers iOS 26 a modifié la façon dont Apple gère un fichier journal particulier, le shutdown.log, qui fait partie du package Sysdiagnose dans le dossier Unified Logs. Dans les versions précédentes d’iOS, shutdown.log fournissait un instantané de l’activité du système à l’arrêt de l’appareil, et les logiciels espions comme Pegasus y laissaient des traces de manière fiable.
Avec iOS 26, Apple semble avoir changé de comportement. Plutôt que d’ajouter chaque événement d’arrêt au journal, le fichier est effectivement écrasé à chaque redémarrage. En termes pratiques, toutes les entrées antérieures qui auraient pu être laissées par un logiciel espion pourraient être effacées une fois que l’utilisateur a redémarré l’appareil. Cela signifie que les preuves d’une compromission antérieure peuvent disparaître sans laisser de trace.
Pour comprendre l’ampleur de cette situation, il est utile d’expliquer comment les chercheurs l’utilisaient shutdown.log dans le passé. Lorsque Pegasus infectait un iPhone, il laissait souvent des signatures dans ce journal, même s’il tentait ensuite de les effacer. Les enquêteurs ont appris à reconnaître des modèles tels que des entrées pointant vers des tâches de mise en réseau WebKit inattendues, des répertoires de transfert ou des noms de processus inhabituels pendant les séquences d’arrêt.
Dans un cas documenté, iVerify a constaté que même un shutdown.log effacé ou formaté de manière étrange pouvait lui-même être un signal d’alarme, car l’absence d’entrées attendues devenait une heuristique de compromission.
Ce qui a changé avec iOS 26, c’est que le comportement de « table rase au redémarrage » semble effacer uniquement cet enregistrement médico-légal. Selon iVerify, à moins qu’un utilisateur ne prenne un instantané de l’appareil ou un diagnostic système avant de passer à iOS 26, toute trace d’infection historique peut déjà être perdue à jamais.
C’est important pour deux raisons. Tout d’abord, pour les personnes qui soupçonnent que leur téléphone a pu être ciblé par un logiciel espion sophistiqué, sans les shutdown.log entrées, leur capacité à prouver ou à enquêter sur la compromission est considérablement affaiblie. Deuxièmement, pour les professionnels de la sécurité et les intervenants en cas d’incident, le changement réduit la visibilité sur les comportements passés, ce qui augmente la complexité de la chasse aux menaces et des enquêtes médico-légales.
Le changement dans iOS 26 n’affecte pas seulement la détection des traces. Cela survient à un moment où les logiciels espions tels que Pegasus et Predator ne sont plus seulement utilisés contre les militants des droits de l’homme et les journalistes. Des recherches antérieures d’iVerify ont révélé que les dirigeants d’entreprises fortunés, les fonctionnaires et les dirigeants du secteur privé ont également été ciblés.
Compte tenu de l’évolution des tactiques de ces outils de surveillance, la capacité à les détecter a toujours été une course. Le changement d’iOS 26 pourrait donner aux attaquants un autre avantage en réduisant la fenêtre pendant laquelle les enquêteurs peuvent détecter les infections historiques.
Ce que cela signifie pour vous
Si vous possédez un iPhone ou gérez des appareils dans un environnement d’entreprise, voici les étapes clés à prendre en compte à la lumière de cette évolution :
1. Avant la mise à niveau vers iOS 26 : Si vous pensez qu’un appareil a peut-être été compromis, exécutez un sysdiagnose complet avant d’appliquer la mise à jour. Enregistrez le shutdown.log, archivez-le et conservez-en une copie en lieu sûr. Une fois iOS 26 installé et l’appareil redémarré, les entrées de journal peuvent être perdues.
2. Activez des outils de surveillance et de détection : utilisez des solutions d’investigation mobile ou EDR réputées qui peuvent analyser les journaux de diagnostic, le comportement du système et les indicateurs de compromission connus (IOC) tels que les répertoires de stockage, les tâches de réseau inattendues ou les anomalies de journal.
3. Pour les flottes d’entreprise, privilégiez la visibilité continue : les traces historiques pouvant disparaître, les modèles de détection doivent s’appuyer davantage sur la détection en temps réel des anomalies, telles que les enregistrements d’authentificateurs inhabituels, les inscriptions de périphériques inconnus ou le comportement des processus en arrière-plan, plutôt que de s’appuyer uniquement sur des artefacts de journal statiques.
4. Restez à jour : Il reste important d’installer les derniers correctifs iOS (qui peuvent corriger les vulnérabilités zero-day). Mais sachez que les mises à jour peuvent également modifier les artefacts médico-légaux. Pour les utilisateurs à haut risque, envisagez de garder l’appareil en mode de verrouillage et de sauvegarder les journaux avant les mises à jour majeures.
5. Éduquez votre organisation : de nombreux utilisateurs ne savent pas que les journaux système sont importants pour la continuité judiciaire. S’assurer que les employés et les dirigeants comprennent que la mise à jour d’un système d’exploitation peut affecter la traçabilité fait désormais partie de l’hygiène numérique.
Le changement dans iOS 26 reflète une tension plus large dans la sécurité mobile. Apple peut faire valoir que l’effacement des journaux au redémarrage est une amélioration de l’hygiène du système, comme la réduction de la taille des fichiers journaux, l’amélioration des performances ou la limitation des données résiduelles. Pourtant, dans la pratique, elle peut également supprimer les outils sur lesquels les défenseurs s’appuient pour détecter les menaces sophistiquées.
Pour les attaquants, ce changement représente un gain. En l’absence de registres historiques fiables, les enquêtes rétrospectives sont plus difficiles. Fini certaines des traces « fumantes » que les enquêteurs savaient lire. Cela ne signifie pas qu’une compromission est impossible à détecter, mais cela signifie que la détection nécessitera une meilleure connaissance en temps réel et plusieurs sources de signaux plutôt qu’un seul fichier journal.
Pour le secteur de la sécurité, c’est un signal d’alarme que les modèles d’investigation doivent évoluer. Les anciennes heuristiques liées à des fichiers journaux spécifiques peuvent ne plus suffire. La détection doit devenir plus comportementale, plus continue et plus résiliente aux changements au niveau du système d’exploitation.
La mise à jour d’iOS 26 est peut-être petite à la vue de tous, mais son impact est tout sauf négligeable. Pour tous ceux qui s’appuient sur des traces médico-légales pour découvrir des logiciels espions comme Pegasus ou Predator, la fenêtre de détection vient de se réduire. Pour les défenseurs de la sécurité mobile, c’est un rappel que la vigilance, la visibilité à plusieurs niveaux et les stratégies avant-gardistes sont plus cruciales que jamais.