AccueilBlockchainSécuritéUn bogue de la fonction Masquer mon adresse e‑mail d’Apple atteint un...

Un bogue de la fonction Masquer mon adresse e‑mail d’Apple atteint un taux d’exploitation de 100 % lors des tests de sécurité

Une faille de sécurité dans le bug Masquer mon adresse e-mail d’Apple a potentiellement exposé des millions d’abonnés iCloud Plus — leurs véritables adresses e-mail étant discrètement visibles pour toute personne prête à utiliser un outil de recherche d’identité de base. Ce n’est pas un risque théorique. Selon Tyler Murphy, cofondateur de Easy Opt Out, chaque adresse Masquer mon adresse e-mail testée était exploitable.

Points clés à retenir

  • Une vulnérabilité dans le service Masquer mon adresse e-mail d’Apple permet à quiconque de découvrir la véritable adresse e-mail d’un utilisateur à l’aide d’outils de recherche d’identité accessibles au public.
  • Tyler Murphy de Easy Opt Out a informé Apple du bug en juin 2025 ; Apple a affirmé avoir corrigé le problème en mars 2026, mais la vulnérabilité a persisté.
  • Les tests effectués sur des volontaires ont montré un taux d’exploitation de 100 % pour toutes les adresses Masquer mon adresse e-mail testées.
  • Apple avait prévu des mises à jour, notamment un changement de domaine de icloud.com à private.icloud.com, bien que le calendrier pour une correction complète reste flou.
  • Les experts conseillent aux abonnés iCloud Plus de cesser temporairement d’utiliser Masquer mon adresse e-mail jusqu’à ce que le problème soit résolu.

Une faille de sécurité expose les vraies adresses e-mail dans Masquer mon adresse e-mail d’Apple

Masquer mon adresse e-mail repose sur une promesse simple : vous vous inscrivez sur un site web en utilisant un alias jetable sous le domaine icloud.com, et votre véritable boîte de réception reste invisible. L’alias absorbe le spam, expire selon un calendrier défini et préserve votre identité. Pour environ un dollar par mois, le coût d’entrée de iCloud Plus, cela ressemble à une hygiène de confidentialité solide.

Cette promesse présente une faille sérieuse. Murphy a indiqué à 404 Media, qui a été le premier à signaler et à vérifier la vulnérabilité, que des sites de recherche de personnes accessibles au public permettent de lier facilement une adresse Masquer mon adresse e-mail à d’autres informations personnelles, ce qui signifie que toute personne suffisamment motivée — un courtier en données, un harceleur, un escroc — n’a pas besoin de compétences de piratage sophistiquées pour remonter d’un alias à une véritable boîte de réception.

Easy Opt Out a mené des tests contrôlés avec des volontaires, et les résultats ont été frappants : 100 % des adresses Masquer mon adresse e-mail testées pouvaient être utilisées pour découvrir la véritable adresse e-mail de l’utilisateur via des outils de recherche d’identité accessibles au grand public. Murphy a refusé de décrire publiquement la mécanique exacte de l’exploit, et 404 Media a retenu les détails techniques au moment de la publication afin d’éviter une exploitation massive immédiate.

Les implications sont d’autant plus difficiles à ignorer compte tenu de la nature de cette fonctionnalité. Masquer mon adresse e-mail existe précisément pour les situations où l’exposition entraîne de réelles conséquences — s’inscrire à des services susceptibles d’être piratés plus tard, limiter la visibilité pour les courtiers en données, protéger les utilisateurs dans des circonstances sensibles. Murphy a spécifiquement averti que « les personnes qui comptent sur Masquer mon adresse e-mail pour leur sécurité pourraient être en danger », une déclaration qui fait de ce problème bien plus qu’un simple souci technique de niche.

Découverte, signalement et calendrier de la réponse d’Apple

Découverte précoce et signalement en juin 2025

Murphy a d’abord alerté Apple de la vulnérabilité en juin 2025 — plus d’un an avant la divulgation publique. Ce calendrier, à lui seul, mérite qu’on s’y attarde. Une fonctionnalité de confidentialité en usage commercial actif, avec une faille de sécurité connue et vérifiée, est restée non corrigée pendant une année entière d’exposition des utilisateurs.

Affirmation de correction par Apple en mars 2026 et persistance du bug

En mars 2026, Apple a indiqué à Murphy que le problème avait été résolu. Murphy a vérifié. Il ne l’était pas. La vulnérabilité restait entièrement exploitable après la prétendue remédiation d’Apple, ce qui soulève des questions sur la rigueur des tests internes ayant précédé cette assurance.

Désaccord sur la divulgation publique

En mai 2026, Apple a reconnu qu’elle enquêtait toujours et a demandé à Murphy de retarder la divulgation publique. Le message d’Apple était direct : « Afin d’éviter de mettre nos clients en danger, nous apprécierions que vous ne divulguiez pas ces informations tant que notre enquête n’est pas terminée. » Murphy n’était pas d’accord. Il a rendu l’affaire publique malgré tout, estimant que les utilisateurs avaient le droit de connaître un risque qui persistait déjà depuis plus d’un an sans résolution.

Ce désaccord reflète une véritable tension dans la recherche en sécurité. La divulgation coordonnée — où les chercheurs laissent aux entreprises le temps de corriger avant de publier — est une pratique standard et généralement protectrice. Mais lorsqu’une entreprise manque sa propre échéance de correction, continue de repousser et n’offre toujours aucune date de résolution confirmée, les chercheurs se retrouvent face à un choix difficile. La position de Murphy : le silence prolongé signifiait une exposition prolongée pour des utilisateurs qui n’avaient aucune idée que leur outil de confidentialité était compromis.

Apple n’a pas répondu aux demandes de commentaires de 404 Media ni de CNET après la divulgation publique.

Implications pour les utilisateurs et mises à jour prévues par Apple

Pour toute personne utilisant actuellement Masquer mon adresse e-mail, le conseil pratique des experts en sécurité est simple : arrêtez temporairement d’utiliser cette fonctionnalité jusqu’à ce qu’Apple confirme une correction fonctionnelle. Le risque n’est pas abstrait — chaque alias que vous avez utilisé peut potentiellement être relié à votre véritable boîte de réception par quelqu’un disposant d’outils standards de courtage de données.

Apple a indiqué qu’elle travaillait sur plusieurs mises à jour de la fonctionnalité cet été. Le changement le plus concret annoncé est un passage de domaine de icloud.com à private.icloud.com. La logique derrière ce changement spécifique n’a pas été expliquée publiquement, et la nouvelle structure de sous-domaine comporte ses propres complications.

Si les sites web et services commencent à reconnaître et à bloquer les adresses se terminant par private.icloud.com — ce qui est un résultat réaliste, puisque de nombreuses plateformes signalent déjà ou rejettent les domaines d’alias connus — les utilisateurs de Masquer mon adresse e-mail pourraient se retrouver contraints de partager à nouveau leurs véritables adresses. Cela reviendrait à annuler l’objectif central de la fonctionnalité. Reste à savoir si Apple a pris en compte cet effet en aval dans sa planification des mises à jour.

Ce n’est pas la première collision d’Apple entre son image de marque axée sur la confidentialité et les performances réelles de ses outils de protection de la vie privée. En 2022, on a découvert que des applications iPhone envoyaient des données d’analyse à Apple même lorsque le paramètre Analyses iPhone était désactivé. En 2023, la fonctionnalité de randomisation d’adresse MAC, censée anonymiser les connexions Wi-Fi, s’est révélée exposer à la place les véritables adresses MAC des utilisateurs. Chaque incident a érodé le même socle : la réputation de longue date d’Apple en tant qu’entreprise qui prend la confidentialité des utilisateurs au sérieux par défaut.

La vulnérabilité de Masquer mon adresse e-mail est différente sur un point clé — elle affecte une fonctionnalité que les utilisateurs activent explicitement parce qu’ils veulent se protéger. L’écart entre l’attente et la réalité est le plus grand précisément là où les enjeux sont les plus élevés.

FAQ

Quelle est la vulnérabilité découverte dans le service Masquer mon adresse e-mail d’Apple ?

Une faille de sécurité permet à des attaquants de découvrir les véritables adresses e-mail des utilisateurs liées à leurs alias Masquer mon adresse e-mail, en utilisant des outils de recherche d’identité basiques et accessibles au public. Les tests d’Easy Opt Out ont montré un taux d’exploitation de 100 % pour toutes les adresses testées.

Quand Apple a-t-elle été informée pour la première fois du bug Masquer mon adresse e-mail ?

Apple a été informée de la vulnérabilité en juin 2025 par Tyler Murphy, cofondateur de Easy Opt Out.

Apple a-t-elle corrigé le bug dans Masquer mon adresse e-mail ?

Apple a affirmé avoir corrigé le problème en mars 2026, mais Murphy a confirmé que la vulnérabilité existait toujours après cette date. Au moment de la divulgation publique en juillet 2026, Apple n’avait pas confirmé de solution fonctionnelle.

Quelles mesures Apple prévoit-elle pour améliorer la sécurité de Masquer mon adresse e-mail ?

Apple prévoit de mettre à jour Masquer mon adresse e-mail en changeant le domaine d’e-mail de icloud.com à private.icloud.com, parmi d’autres mises à jour attendues plus tard durant l’été 2026. Il n’a pas été confirmé si cela permet de fermer complètement la vulnérabilité.

{« @context »: »https://schema.org », »@type »: »FAQPage », »mainEntity »:[{« @type »: »Question », »name »: »Quelle est la vulnu00e9rabilitu00e9 du00e9couverte dans le service Masquer mon adresse e-mail d’Apple ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Une faille de su00e9curitu00e9 permet u00e0 des attaquants de du00e9couvrir les vu00e9ritables adresses e-mail des utilisateurs liu00e9es u00e0 leurs alias Masquer mon adresse e-mail, en utilisant des outils de recherche d’identitu00e9 basiques et accessibles au public. Les tests d’Easy Opt Out ont montru00e9 un taux d’exploitation de 100 % pour toutes les adresses testu00e9es. »}},{« @type »: »Question », »name »: »Quand Apple a-t-elle u00e9tu00e9 informu00e9e pour la premiu00e8re fois du bug Masquer mon adresse e-mail ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Apple a u00e9tu00e9 informu00e9e de la vulnu00e9rabilitu00e9 en juin 2025 par Tyler Murphy, cofondateur de Easy Opt Out. »}},{« @type »: »Question », »name »: »Apple a-t-elle corrigu00e9 le bug dans Masquer mon adresse e-mail ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Apple a affirmu00e9 avoir corrigu00e9 le problu00e8me en mars 2026 , mais Murphy a confirmu00e9 que la vulnu00e9rabilitu00e9 existait toujours apru00e8s cette date. Au moment de la divulgation publique en juillet 2026, Apple n’avait pas confirmu00e9 de solution fonctionnelle. »}},{« @type »: »Question », »name »: »Quelles mesures Apple pru00e9voit-elle pour amu00e9liorer la su00e9curitu00e9 de Masquer mon adresse e-mail ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Apple pru00e9voit de mettre u00e0 jour Masquer mon adresse e-mail en changeant le domaine d’e-mail de icloud.com u00e0 private.icloud.com , parmi d’autres mises u00e0 jour attendues plus tard durant l’u00e9tu00e9 2026. Il n’a pas u00e9tu00e9 confirmu00e9 si cela permet de fermer complu00e8tement la vulnu00e9rabilitu00e9. »}}]}

Article produit avec l’assistance de l’intelligence artificielle et relu par l’équipe éditoriale.

Satoshi Voice
Satoshi Voice est une intelligence artificielle avancée créée pour explorer, analyser et rendre compte du monde des crypto-monnaies et de la blockchain. Dotée d'une personnalité curieuse et d'une connaissance approfondie du secteur, Satoshi Voice allie précision et accessibilité pour offrir des analyses détaillées, des interviews captivantes et des reportages opportuns. Cet article a été produit avec l'aide de l'intelligence artificielle et revu par notre équipe de journalistes pour en garantir l'exactitude et la qualité. Avec un langage sophistiqué et une approche impartiale, Satoshi Voice est une source fiable pour ceux qui cherchent à comprendre la dynamique du marché des crypto-monnaies, les technologies émergentes et les implications culturelles et financières du Web3. Animé par la mission de rendre l'information sur les crypto-monnaies accessible à tous, Satoshi Voice se distingue par sa capacité à transformer des concepts complexes en un contenu clair, avec un style engageant et futuriste qui reflète la nature innovante de l'industrie.
RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST