
La promesse était simple : permettre aux abonnés iCloud+ de créer des adresses courriel aléatoires, uniques et temporaires, afin d’éviter de donner leur véritable adresse à des sites web, des applications ou des services en ligne. Apple explique que ces adresses redirigent les messages vers la boîte personnelle de l’utilisateur, tout en gardant son adresse réelle privée.
Or, cette promesse de confidentialité serait fragilisée par une faille toujours exploitable. D’après 404 Media, Tyler Murphy a démontré qu’il était possible, à partir d’une adresse générée par « Masquer mon adresse e-mail », de retrouver l’adresse réelle associée au compte Apple. Le média affirme avoir testé le problème avec une de ses propres adresses masquées et avoir obtenu la véritable adresse en quelques minutes.
Le chercheur soutient que, dans ses tests limités menés avec des volontaires, 100 % des adresses « Masquer mon adresse e-mail » testées étaient vulnérables. Cette donnée doit être lue avec prudence : elle ne signifie pas nécessairement que tous les comptes iCloud+ du monde sont exposés, mais elle indique que le problème pourrait être sérieux et reproductible dans les conditions testées.
404 Media ne publie pas les détails techniques de la faille, précisément parce qu’elle serait encore exploitable. C’est une décision importante : révéler la méthode permettrait à des acteurs malveillants de cibler des utilisateurs qui utilisent cette fonction pour éviter le pistage, limiter le pourriel ou séparer certaines activités en ligne de leur identité principale.
Le calendrier soulève aussi des questions. Murphy affirme avoir signalé la vulnérabilité à Apple en juin 2025. Selon les échanges rapportés par 404 Media, Apple aurait indiqué en mars 2026 que le problème avait été corrigé, avant que le chercheur ne constate le contraire. Apple aurait ensuite demandé de ne pas rendre l’affaire publique avant la fin de son enquête, puis évoqué un correctif attendu en juin. 404 Media indique qu’Apple n’a pas répondu à ses demandes de commentaires.
Cette affaire arrive au moment où Apple prépare déjà un changement pour cette fonction. Le 15 juin 2026, l’entreprise a annoncé aux développeurs que les nouvelles adresses générées par « Se connecter avec Apple » et « Masquer mon adresse e-mail » utiliseraient bientôt un domaine commun, private.icloud.com. Les anciennes adresses devraient continuer de fonctionner.
Ce changement de domaine avait déjà suscité des critiques. TechCrunch notait le 16 juin 2026 qu’un domaine distinct pourrait permettre à des sites ou applications d’identifier plus facilement les adresses anonymisées et, au besoin, de les bloquer. Autrement dit, même sans la faille révélée par 404 Media, la fonction faisait déjà face à un débat sur son efficacité future.
Pour les utilisateurs, la prudence s’impose. « Masquer mon adresse e-mail » demeure utile contre le pourriel et pour compartimenter des inscriptions en ligne, mais il ne faut plus la considérer comme une protection absolue de l’identité tant qu’Apple n’a pas confirmé publiquement un correctif. Les personnes qui dépendent de cette fonction pour des raisons sensibles, par exemple la sécurité personnelle, le militantisme, le journalisme ou la séparation stricte entre vie privée et comptes en ligne, devraient éviter de l’utiliser comme seule barrière d’anonymat.
Sources : 404media
+++++++
Maintenant, vous pouvez vous assurer de ne rien manquer de mes publications dans vos recherches et de retrouver tout ce que j’ai écrit sur un sujet, simplement en indiquant à Google que Mon Carnet fait partie de vos sources de confiance. C’est simple, cliquez sur le bandeau…
+++++++
Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.
Ou encore…
Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.
En savoir plus sur Mon Carnet
Subscribe to get the latest posts sent to your email.



La fonction Masquer mon adresse courriel peut également s’avérer utile pour savoir si un site vend les données des gens qui y sont inscrits. Comme cette fonction génère une adresse unique, tout courriel reçu à cette adresse provenant d’un expéditeur autre que le site pour laquelle elle a été utilisée devrait éveiller les soupçons.