img_pub
Rubriques
Publicité
Publicité
Quoi de neuf

Apple : des chercheurs disent pouvoir retrouver l’adresse réelle derrière certains alias iCloud

Signalé pour la première fois en juin 2025, le problème aurait permis de remonter jusqu’aux coordonnées personnelles de certains utilisateurs malgré deux correctifs annoncés par le groupe californien. Apple prépare parallèlement le basculement de ces relais vers le domaine private.icloud.com.

Apple : des chercheurs disent pouvoir retrouver l’adresse réelle derrière certains alias iCloud
Par
Le 13 juillet 2026 à 12h19 | Modifié 13 juillet 2026 à 12h31

Deux chercheurs en protection des données affirment avoir découvert plusieurs vulnérabilités dans la fonction « Masquer mon adresse e-mail » d’Apple, susceptibles de permettre à un tiers de retrouver l’adresse personnelle dissimulée derrière un alias généré par le service.

Réservée aux abonnés iCloud+, cette fonctionnalité crée des adresses aléatoires que l’utilisateur peut communiquer à un site, une application ou un correspondant à la place de son adresse habituelle. Les messages reçus sont ensuite transférés vers sa boîte personnelle, sans que celle-ci soit en principe révélée.

Ben et Tyler, cofondateurs de la société américaine EasyOptOuts, assurent avoir identifié une première faille le 11 juin 2025 et l’avoir signalée le jour même à Apple. L’entreprise leur aurait alors confirmé que le service n’était pas conçu pour permettre la découverte de l’adresse masquée, avant de leur demander des informations complémentaires.

Les chercheurs disent avoir transmis deux jours plus tard des instructions permettant de reproduire le problème, puis signalé en juillet 2025 une seconde vulnérabilité aboutissant au même résultat. La chronologie publiée par EasyOptOuts détaille leurs échanges avec Apple, mais ne dévoile pas la méthode d’exploitation afin, selon eux, de ne pas exposer davantage les utilisateurs.

Deux correctifs annoncés, mais contestés

D’après leur récit, Apple les a informés le 3 mars 2026 que les vulnérabilités avaient été corrigées. Après vérification, les chercheurs disent être parvenus à les reproduire en utilisant les mêmes étapes que dans leur signalement initial.

Ils affirment avoir découvert le 22 mai que la portée et la gravité du problème pouvaient être supérieures à ce qu’ils avaient d’abord estimé, puis en avoir averti Apple. Selon eux, ce nouveau message n’a pas reçu d’accusé de réception.

Le 30 juin, Apple leur aurait de nouveau annoncé que les failles étaient résolues. EasyOptOuts assure cependant avoir pu les exploiter une nouvelle fois. Les chercheurs appellent désormais le groupe californien à avertir les utilisateurs et suggèrent, à titre de précaution, de suspendre temporairement la création de nouveaux alias.

Leur publication ne permet toutefois pas à des spécialistes extérieurs d’examiner directement la vulnérabilité, puisque les éléments techniques nécessaires à sa reproduction restent confidentiels. Apple n’a, de son côté, publié aucun bulletin de sécurité reconnaissant le problème décrit par EasyOptOuts.

Les découvreurs soutiennent qu’une personne connaissant un alias créé par « Masquer mon adresse e-mail » pourrait remonter jusqu’à l’adresse vers laquelle les messages sont transférés. Une telle information peut servir à relier plusieurs comptes à un même utilisateur ou être croisée avec des bases de données publiques et commerciales contenant d’autres renseignements personnels.

La faille présumée ne signifierait pas que le contenu des boîtes de réception peut être consulté ni que le compte Apple peut être directement compromis. Elle remettrait en cause la fonction centrale du service : empêcher un site ou un interlocuteur d’identifier l’adresse permanente de l’utilisateur.

Apple prépare parallèlement un changement de domaine

Dans une communication adressée aux développeurs le 15 juin, Apple a annoncé qu’elle regrouperait, au cours de l’été, les adresses générées par « Se connecter avec Apple » et « Masquer mon adresse e-mail » sous un domaine commun : private.icloud.com.

Les alias créés par « Masquer mon adresse e-mail », jusqu’ici émis sous le domaine `icloud.com`, adopteront cette nouvelle terminaison. Ceux issus de « Se connecter avec Apple », actuellement en `privaterelay.appleid.com`, migreront également vers le domaine commun.

Les adresses déjà existantes continueront de fonctionner et de transférer les messages sans interruption, a précisé Apple. Le groupe demande cependant aux développeurs, aux sites et aux fournisseurs de messagerie d’adapter leurs systèmes de validation, leurs listes d’autorisation et leurs filtres afin qu’ils acceptent le nouveau domaine.

Cette évolution rendra les alias plus faciles à reconnaître comme des adresses de relais, alors qu’une adresse de la fonction « Masquer mon adresse e-mail » en `icloud.com` pouvait jusque-là ressembler à une adresse iCloud ordinaire. Elle pourrait donc conduire certains services à identifier, voire à refuser, les inscriptions effectuées avec ces alias.

Apple n’a établi publiquement aucun lien entre ce changement de domaine et les vulnérabilités rapportées par EasyOptOuts. L’annonce officielle ne présente pas cette migration comme une mesure de sécurité et ne mentionne pas les signalements des chercheurs.

En l’absence de détails techniques publics et de confirmation d’Apple, l’existence et l’étendue exactes de la faille reposent à ce stade sur les constatations de ces découvreurs. Ceux-ci affirment toutefois que le problème est demeuré exploitable pendant plus d’un an après son premier signalement.

Si vous voulez que l'information se rapproche de vous Suivez la chaîne Médias24 sur WhatsApp
© Médias24. Toute reproduction interdite, sous quelque forme que ce soit, sauf autorisation écrite de la Société des Nouveaux Médias. Ce contenu est protégé par la loi et notamment loi 88-13 relative à la presse et l’édition ainsi que les lois 66.19 et 2-00 relatives aux droits d’auteur et droits voisins.
Par
Le 13 juillet 2026 à 12h19

à lire aussi

Maroc-Émirats arabes unis : Bourita et son homologue examinent les développements régionaux
DIPLOMATIE

Article : Maroc-Émirats arabes unis : Bourita et son homologue examinent les développements régionaux

Lors d’un échange téléphonique dimanche 12 juillet, les deux responsables ont évoqué les enjeux de sécurité et de stabilité, le renforcement de la coopération bilatérale et le parcours des Lions de l’Atlas au Mondial 2026.

Mondial 2026. Maroc-France : ce que dit la data des six matches du Maroc
Mondial2026

Article : Mondial 2026. Maroc-France : ce que dit la data des six matches du Maroc

Retour, données à l'appui, sur l'effondrement défensif et offensif qui a coûté la qualification aux Lions de l'Atlas contre la France. Avec à l'appui, la date entière des 6 matches.

Vague de chaleur : jusqu'à 45°C attendus dans plusieurs provinces du Maroc du 14 au 17 juillet
Quoi de neuf

Article : Vague de chaleur : jusqu'à 45°C attendus dans plusieurs provinces du Maroc du 14 au 17 juillet

La vigilance orange concerne notamment Zagora, Tata, Es-Semara, Assa-Zag, Boujdour, Oued Ed-Dahab et Aousserd, tandis que 23 autres territoires, dont Marrakech, Béni Mellal, Errachidia et Oujda-Angad, connaîtront des températures comprises entre 40 et 43°C.

Une étude pointe les biais idéologiques de médias publics algériens sur le Maroc et les crises internationales
TECH & MEDIAS

Article : Une étude pointe les biais idéologiques de médias publics algériens sur le Maroc et les crises internationales

À partir de trois articles de l’APS et de Radio Algérienne, deux chercheurs de l’Université Hassan II ont confronté citations et affirmations aux documents originaux de l’ONU, de l’AIEA et de Maersk. Leur analyse relève des ajouts dans les propos attribués à António Guterres, des contestations passées sous silence et un traitement à géométrie variable des relations maroco-israéliennes.

Coupe du monde 2026. Le Maroc sort frustré, mais grandi par son épopée (récit)
Mondial2026

Article : Coupe du monde 2026. Le Maroc sort frustré, mais grandi par son épopée (récit)

Avant le dénouement de leur escapade américaine et une élimination en quart de finale face à la France, les Lions de l’Atlas et leurs supporters ont vécu une aventure hors norme. Une histoire commencée le 22 mai au Complexe Mohammed VI de Salé et qui aura tenu tout un peuple en haleine pendant quatre semaines. En voici le récit.

Message de condoléances du Roi Mohammed VI à l'Émir du Qatar après le décès de son père
Quoi de neuf

Article : Message de condoléances du Roi Mohammed VI à l'Émir du Qatar après le décès de son père

À la suite du décès de Cheikh Hamad Bin Khalifa Al-Thani, le Roi Mohammed VI a adressé un message de condoléances à l'Émir du Qatar, dans lequel Il rend hommage au parcours du défunt et souligne les liens historiques de fraternité et de solidarité unissant le Maroc et le Qatar.

Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.

Toute l'actualité