Une faille de sécurité au niveau de la fonction « Masquer mon adresse e-mail » d’Apple, qui se veut comme un outil d’anonymisation pour les abonnés iCloud+, permet de remonter à l’adresse e-mail réelle d’un utilisateur en environ 5 minutes. Signalée à Apple en juin 2025, la vulnérabilité reste exploitable plus d’un an après.

iCloud Logo

Une faille qui révèle votre véritable adresse e-mail

Tyler Murphy, cofondateur d’EasyOptOuts, dit avoir transmis à Apple la faille de sécurité et sa méthode pour l’exploiter en juin 2025. Dans un test, 100% des adresses générées se sont révélées exploitables. Le chercheur soutient que presque n’importe qui peut retrouver l’adresse réelle cachée derrière un alias Masquer mon adresse e-mail créé via iCloud+.

Tyler Murphy résume l’alerte ainsi auprès de 404 Media :

« Masquer mon adresse e-mail » d’Apple divulgue des adresses e-mail qui sont censées être cachées. Nous avons signalé le problème et les instructions pour le reproduire à Apple il y a plus d’un an. Nous ne savons pas pourquoi cela n’a pas été corrigé, mais nous ne nous sentons plus à l’aise à l’idée d’attendre davantage. Les utilisateurs de « Masquer mon adresse e-mail » méritent de savoir qu’il peut être possible pour des attaquants de découvrir leurs adresses e-mail masquées.

Apple a d’abord répondu en juillet 2025 que le dossier était en cours d’examen. En mars 2026, l’entreprise a indiqué que son système avait été modifié, ce que Tyler Murphy conteste après une nouvelle série de vérifications réalisées le même mois. En mai, Apple a finalement confirmé au chercheur que l’enquête continuait.

Dans ce message transmis à Tyler Murphy, Apple écrit : « Nous enquêtons toujours sur ce problème. Afin d’éviter d’exposer nos clients à un risque, nous vous remercierions de ne pas divulguer ces informations tant que notre enquête n’est pas terminée. Nous vous remercions de votre aide pour maintenir et améliorer la sécurité de nos produits ». Cette réponse confirme qu’Apple ne considérait pas le dossier comme clos à cette date.

Apple modifie le service au lieu de le renforcer

En juin, Apple a annoncé une évolution de « Masquer mon adresse e-mail » avec un passage des alias en @icloud.com vers @private.icloud.com. Ce changement rendra les adresses générées plus faciles à identifier par les sites, donc plus simples à bloquer lors d’une inscription. La fonction perdra ainsi une partie de son intérêt pratique pour les utilisateurs qui s’en servent pour masquer leur identité numérique.

Le risque dépasse maintenant la simple gêne d’un alias refusé. Tyler Murphy avertit : « Des sites gratuits et accessibles au public de recherche sur les personnes permettent facilement d’associer une adresse e-mail à d’autres informations personnelles, de sorte que les personnes qui comptent sur « Masquer mon adresse e-mail » pour leur sécurité peuvent être en danger ». Pour Apple, l’enjeu est particulièrement sensible car la confidentialité reste l’un des arguments centraux d’iCloud+ et de l’ensemble de son écosystème.