Apple : des chercheurs disent pouvoir retrouver l’adresse réelle derrière certains alias iCloud
Signalé pour la première fois en juin 2025, le problème aurait permis de remonter jusqu’aux coordonnées personnelles de certains utilisateurs malgré deux correctifs annoncés par le groupe californien. Apple prépare parallèlement le basculement de ces relais vers le domaine private.icloud.com.
Deux chercheurs en protection des données affirment avoir découvert plusieurs vulnérabilités dans la fonction « Masquer mon adresse e-mail » d’Apple, susceptibles de permettre à un tiers de retrouver l’adresse personnelle dissimulée derrière un alias généré par le service.
Réservée aux abonnés iCloud+, cette fonctionnalité crée des adresses aléatoires que l’utilisateur peut communiquer à un site, une application ou un correspondant à la place de son adresse habituelle. Les messages reçus sont ensuite transférés vers sa boîte personnelle, sans que celle-ci soit en principe révélée.
Ben et Tyler, cofondateurs de la société américaine EasyOptOuts, assurent avoir identifié une première faille le 11 juin 2025 et l’avoir signalée le jour même à Apple. L’entreprise leur aurait alors confirmé que le service n’était pas conçu pour permettre la découverte de l’adresse masquée, avant de leur demander des informations complémentaires.
Les chercheurs disent avoir transmis deux jours plus tard des instructions permettant de reproduire le problème, puis signalé en juillet 2025 une seconde vulnérabilité aboutissant au même résultat. La chronologie publiée par EasyOptOuts détaille leurs échanges avec Apple, mais ne dévoile pas la méthode d’exploitation afin, selon eux, de ne pas exposer davantage les utilisateurs.
Deux correctifs annoncés, mais contestés
D’après leur récit, Apple les a informés le 3 mars 2026 que les vulnérabilités avaient été corrigées. Après vérification, les chercheurs disent être parvenus à les reproduire en utilisant les mêmes étapes que dans leur signalement initial.
Ils affirment avoir découvert le 22 mai que la portée et la gravité du problème pouvaient être supérieures à ce qu’ils avaient d’abord estimé, puis en avoir averti Apple. Selon eux, ce nouveau message n’a pas reçu d’accusé de réception.
Le 30 juin, Apple leur aurait de nouveau annoncé que les failles étaient résolues. EasyOptOuts assure cependant avoir pu les exploiter une nouvelle fois. Les chercheurs appellent désormais le groupe californien à avertir les utilisateurs et suggèrent, à titre de précaution, de suspendre temporairement la création de nouveaux alias.
Leur publication ne permet toutefois pas à des spécialistes extérieurs d’examiner directement la vulnérabilité, puisque les éléments techniques nécessaires à sa reproduction restent confidentiels. Apple n’a, de son côté, publié aucun bulletin de sécurité reconnaissant le problème décrit par EasyOptOuts.
Les découvreurs soutiennent qu’une personne connaissant un alias créé par « Masquer mon adresse e-mail » pourrait remonter jusqu’à l’adresse vers laquelle les messages sont transférés. Une telle information peut servir à relier plusieurs comptes à un même utilisateur ou être croisée avec des bases de données publiques et commerciales contenant d’autres renseignements personnels.
La faille présumée ne signifierait pas que le contenu des boîtes de réception peut être consulté ni que le compte Apple peut être directement compromis. Elle remettrait en cause la fonction centrale du service : empêcher un site ou un interlocuteur d’identifier l’adresse permanente de l’utilisateur.
Apple prépare parallèlement un changement de domaine
Dans une communication adressée aux développeurs le 15 juin, Apple a annoncé qu’elle regrouperait, au cours de l’été, les adresses générées par « Se connecter avec Apple » et « Masquer mon adresse e-mail » sous un domaine commun : private.icloud.com.
Les alias créés par « Masquer mon adresse e-mail », jusqu’ici émis sous le domaine `icloud.com`, adopteront cette nouvelle terminaison. Ceux issus de « Se connecter avec Apple », actuellement en `privaterelay.appleid.com`, migreront également vers le domaine commun.
Les adresses déjà existantes continueront de fonctionner et de transférer les messages sans interruption, a précisé Apple. Le groupe demande cependant aux développeurs, aux sites et aux fournisseurs de messagerie d’adapter leurs systèmes de validation, leurs listes d’autorisation et leurs filtres afin qu’ils acceptent le nouveau domaine.
Cette évolution rendra les alias plus faciles à reconnaître comme des adresses de relais, alors qu’une adresse de la fonction « Masquer mon adresse e-mail » en `icloud.com` pouvait jusque-là ressembler à une adresse iCloud ordinaire. Elle pourrait donc conduire certains services à identifier, voire à refuser, les inscriptions effectuées avec ces alias.
Apple n’a établi publiquement aucun lien entre ce changement de domaine et les vulnérabilités rapportées par EasyOptOuts. L’annonce officielle ne présente pas cette migration comme une mesure de sécurité et ne mentionne pas les signalements des chercheurs.
En l’absence de détails techniques publics et de confirmation d’Apple, l’existence et l’étendue exactes de la faille reposent à ce stade sur les constatations de ces découvreurs. Ceux-ci affirment toutefois que le problème est demeuré exploitable pendant plus d’un an après son premier signalement.
à lire aussi
Article : Maroc-Émirats arabes unis : Bourita et son homologue examinent les développements régionaux
Lors d’un échange téléphonique dimanche 12 juillet, les deux responsables ont évoqué les enjeux de sécurité et de stabilité, le renforcement de la coopération bilatérale et le parcours des Lions de l’Atlas au Mondial 2026.
Article : Mondial 2026. Maroc-France : ce que dit la data des six matches du Maroc
Retour, données à l'appui, sur l'effondrement défensif et offensif qui a coûté la qualification aux Lions de l'Atlas contre la France. Avec à l'appui, la date entière des 6 matches.
Article : Vague de chaleur : jusqu'à 45°C attendus dans plusieurs provinces du Maroc du 14 au 17 juillet
La vigilance orange concerne notamment Zagora, Tata, Es-Semara, Assa-Zag, Boujdour, Oued Ed-Dahab et Aousserd, tandis que 23 autres territoires, dont Marrakech, Béni Mellal, Errachidia et Oujda-Angad, connaîtront des températures comprises entre 40 et 43°C.
Article : Une étude pointe les biais idéologiques de médias publics algériens sur le Maroc et les crises internationales
À partir de trois articles de l’APS et de Radio Algérienne, deux chercheurs de l’Université Hassan II ont confronté citations et affirmations aux documents originaux de l’ONU, de l’AIEA et de Maersk. Leur analyse relève des ajouts dans les propos attribués à António Guterres, des contestations passées sous silence et un traitement à géométrie variable des relations maroco-israéliennes.
Article : Coupe du monde 2026. Le Maroc sort frustré, mais grandi par son épopée (récit)
Avant le dénouement de leur escapade américaine et une élimination en quart de finale face à la France, les Lions de l’Atlas et leurs supporters ont vécu une aventure hors norme. Une histoire commencée le 22 mai au Complexe Mohammed VI de Salé et qui aura tenu tout un peuple en haleine pendant quatre semaines. En voici le récit.
Article : Message de condoléances du Roi Mohammed VI à l'Émir du Qatar après le décès de son père
À la suite du décès de Cheikh Hamad Bin Khalifa Al-Thani, le Roi Mohammed VI a adressé un message de condoléances à l'Émir du Qatar, dans lequel Il rend hommage au parcours du défunt et souligne les liens historiques de fraternité et de solidarité unissant le Maroc et le Qatar.