Une faille dans la fonctionnalité « Masquer mon e-mail » d’Apple permet de retrouver l’adresse réelle derrière chaque alias généré. Le problème est signalé depuis juin 2025. Il n’est toujours pas corrigé.

La promesse était simple : vous créez un compte sur un site douteux, Apple génère une adresse relais aléatoire, votre vraie boîte mail reste invisible. Sauf que cette protection a une fissure béante, connue d’Apple depuis plus d’un an, et que la firme de Cupertino n'a toujours pas colmaté. Tyler Murphy, cofondateur d’EasyOptOuts et chercheur en sécurité, a découvert qu’il est possible de procéder à une rétro-ingénierie sur n’importe quelle adresse relais Masquer mon e-mail pour remonter jusqu’au compte Apple d’origine. Selon 404 media, le taux de réussite atteindrait 100 % des alias testés.
Masquer mon e-mail : une faille qui dure depuis plus d’un an
Murphy a signalé le problème à Apple en juin 2025, avec les instructions nécessaires pour le reproduire. La réponse d’Apple a suivi un mois plus tard : l’entreprise disait « enquêter ». En mars 2026, elle a affirmé avoir « résolu le problème signalé dans une récente modification système ». Murphy a vérifié. La faille était toujours là. Il a fourni de nouvelles informations, Apple a répondu qu’elle « continuait d'enquêter » et lui a demandé de ne rien divulguer publiquement. En mai, la firme promettait un correctif « dans les semaines à venir ». Nous sommes en juillet. Rien.
Ce qui rend la situation particulièrement inconfortable, c’est la nature du risque. Murphy le formule clairement : « Les sites de recherche de personnes gratuits et accessibles au public permettent facilement de relier une adresse e-mail à d'autres informations personnelles. » Autrement dit, une adresse relais compromise ne révèle pas seulement votre e-mail principal, elle peut servir de point d’entrée vers votre identité réelle. Pour les personnes qui utilisent « Masquer mon e-mail » dans des contextes sensibles, le niveau de protection réel de la fonctionnalité mérite d’être sérieusement questionné.
Le changement de domaine : une solution qui crée un autre problème
Parallèlement à cette faille non corrigée, Apple a annoncé aux développeurs que les nouvelles adresses Masquer mon e-mail migreront prochainement vers le domaine @private.icloud.com, au lieu de l’actuel @icloud.com. Sur le papier, c’est une décision de gestion technique. Dans les faits, elle estampille chaque alias d’un label parfaitement lisible par n’importe quel site ou application. Résultat : les services qui souhaitent bloquer les inscriptions anonymes n’auront qu’à filtrer ce domaine. La fonctionnalité devient identifiable, donc contournable.

Ce qui retient l’attention, c’est ce que ce changement dit de la trajectoire d’Apple sur la vie privée. La firme a déjà démontré qu’elle pouvait lever l’anonymat d’un alias sur demande légale, comme l’illustre l’affaire impliquant le FBI plus tôt cette année. Masquer mon e-mail fonctionne très bien comme filtre anti-spam. Pour des usages à plus fort enjeu de confidentialité, la dépendance à l’infrastructure Apple reste une limite structurelle que ni un alias ni un domaine ne peut effacer. Les utilisateurs qui s’en remettaient à cette fonctionnalité pour protéger leur identité dans des situations sensibles devraient envisager des alternatives indépendantes, comme les services de messagerie chiffrée sans lien avec leur compte Apple.
Apple n’a pas répondu aux demandes de commentaire sur la vulnérabilité. L’entreprise qui a bâti une partie de son image de marque sur la protection de la vie privée laisse donc une faille critique ouverte depuis plus d’un an, tout en annonçant un changement de domaine qui fragilise davantage l’anonymat de ses utilisateurs. La question n’est pas de savoir si Apple peut corriger ce bug techniquement. C’est de comprendre pourquoi elle ne l’a pas fait, malgré quatre échanges documentés avec le chercheur qui l'a découvert.