Masquer mon e-mail : une faille Apple expose les adresses réelles
- 👨 Alexandre Godard
- Il y a 3 heures (Màj il y a 3 heures)
- 💬 1 com
Masquer mon e-mail : une faille non corrigée depuis un an expose les adresses réelles des utilisateurs Apple
Une vulnérabilité touchant Masquer mon e-mail, la fonction phare de confidentialité d'iCloud+, permet de retrouver l'adresse email réelle d'un utilisateur derrière un alias censé rester anonyme. C'est ce que révèle 404 Media, qui a testé le problème sur sa propre adresse générée par le service.
Le chercheur à l'origine de la découverte, Tyler Murphy, cofondateur du service EasyOptOuts spécialisé dans l'effacement de données personnelles, affirme avoir signalé la faille à Apple dès juin 2025. Plus d'un an après, le problème persiste. Dans ses tests menés avec des volontaires, la totalité des adresses Masquer mon e-mail générées se sont révélées vulnérables.
Le fonctionnement de la fonction repose sur un principe simple : générer une adresse aléatoire en @icloud.com qui redirige automatiquement les messages vers la boîte mail personnelle de l'utilisateur, sans jamais dévoiler cette dernière. C'est justement ce cloisonnement que la faille contourne. Lors d'un test mené par 404 Media, une adresse fraîchement créée a été transmise à Murphy, qui a retrouvé le compte Apple associé en seulement cinq minutes.
Les échanges entre Murphy et Apple montrent plusieurs relances sur près d'un an. En mars dernier, la firme californienne affirmait avoir corrigé le problème via une mise à jour système, avant que Murphy ne démontre que ce n'était pas le cas. Fin mai, Apple évoquait un correctif prévu dans les semaines suivantes, sans plus de précision. Sollicitée par 404 Media, la marque n'a pas répondu.
Ce dossier survient alors qu'Apple prépare un changement distinct sur le même service. Prochainement, les nouvelles adresses générées par Masquer mon e-mail basculeront prochainement du domaine @icloud.com vers un domaine dédié, rendant ces alias facilement identifiables et donc potentiellement bloquables par certains sites. Un changement qui, combiné à cette faille non résolue, fragilise davantage un outil pensé au départ pour protéger la vie privée des abonnés iCloud+, facturé à partir de 0,99 euro par mois en France.