La fonctionnalité « Masquer mon e-mail » d’Apple, censée protéger l’identité des internautes en générant des adresses temporaires, présente une faille de sécurité importante. Le cofondateur d’EasyOptOuts et chercheur en sécurité Tyler Murphy a mis au jour une méthode permettant de déduire l’adresse réelle associée à n’importe quel alias créé via ce service. Selon ses tests, la technique fonctionne dans la totalité des cas.
Un signalement resté sans réponse efficace
Tyler Murphy a transmis ses conclusions à Apple en juin 2025, accompagnées des éléments nécessaires à la reproduction du problème. Un mois plus tard, l’entreprise indiquait qu’elle « enquêtait » sur le sujet. En mars 2026, Apple a affirmé avoir « résolu le problème signalé dans une récente modification système ». Le chercheur a alors vérifié : la vulnérabilité était toujours présente. Il a de nouveau informé la société.
Une atteinte à la vie privée
Le principe de l’outil « Masquer mon e-mail » consiste à créer des adresses relais aléatoires qui redirigent les messages vers la boîte de réception principale de l’utilisateur. Cette technique vise à éviter que l’adresse personnelle ne soit divulguée lors d’inscriptions sur des sites web. La faille découverte par Tyler Murphy permet de contourner cette protection en effectuant une rétro-ingénierie sur l’alias. Une fois la véritable adresse obtenue, il devient possible de la croiser avec des données accessibles publiquement ou issues de fuites pour retrouver l’identité de la personne ainsi que ses différents comptes en ligne.
Un correctif manqué et une demande de silence
Après avoir constaté que le correctif d’Apple n’avait pas fonctionné, Tyler Murphy aurait essuyé une demande de ne pas divulguer publiquement la faille. Ce n’est qu’ensuite que l’information a été portée à la connaissance du public. La firme de Cupertino n’a pas communiqué officiellement sur le calendrier d’un nouveau correctif.
Des implications pour les utilisateurs
Les experts en sécurité recommandent de ne pas centraliser la gestion des alias sur un seul service, afin de limiter l’impact d’une éventuelle compromission. La vulnérabilité touche l’ensemble des utilisateurs de la fonctionnalité, qu’ils soient sur iPhone, iPad ou Mac. Aucune solution alternative n’a été proposée par Apple à ce jour.
Une faille qui dure
Le problème est connu depuis juin 2025, ce qui signifie qu’il perdure depuis plus d’un an sans correction définitive. Les utilisateurs qui comptaient sur « Masquer mon e-mail » pour préserver leur anonymat en ligne restent exposés. La situation soulève des interrogations sur la réactivité d’Apple en matière de sécurité des données personnelles.