Une importante faille découverte avec la fonction: masquer mon courriel d'Apple
Apple a un petit pépin. Sa fonction: masquer mon courriel se trouve à avoir une faille importante, et ce, depuis plus d'un an. En effet, ça ne prend en réalité que quelques minutes pour démasquer notre adresse courriel.
Apple se vante souvent d'être le champion de la vie privée, mais une découverte récente vient entacher un peu cette image.
Si vous utilisez la fonction « Masquer mon courriel », sachez qu’une faille de sécurité importante permettrait à des personnes malintentionnées de découvrir votre véritable adresse courriel en un rien de temps.
C'est quoi la fonction « Masquer mon courriel »?
Inclus avec les abonnements payants iCloud+, la fonction: masquer mon courriel permet de générer des adresses courriel uniques et aléatoires (des « alias » en quelque sorte) lorsque vous vous inscrivez à une application ou un site web.
L'idée est simple. Au lieu de donner votre vraie adresse, vous en donnez une fausse, comme [email protected]. Apple s'occupe ensuite de rediriger les messages reçus vers votre boîte de réception principale.
Si un site commence à vous envoyer trop de publicités ou si ses données sont piratées, vous n'avez qu'à supprimer l'alias pour avoir la paix.
Une faille qui traîne depuis trop longtemps
Le problème, c'est que cette protection ne serait pas aussi étanche qu'on le pense. Des chercheurs de la firme EasyOptOuts ont découvert qu'il est possible de « démasquer » l'adresse réelle derrière l'alias.
Lors d'un test réalisé avec le média 404 Media, le chercheur a réussi à trouver la véritable adresse d'un journaliste en moins de cinq minutes seulement.
Plus inquiétant encore, le chercheur a prévenu Apple de ce bogue dès juin 2025.
Apple a affirmé avoir réglé le problème en mars 2026, mais les tests ont prouvé que la faille était toujours exploitable.
Dans les tests limités qui ont été faits, 100 % des adresses testées ont pu être démasquées avec un minimum d'effort technique.
Quels sont les risques pour votre sécurité?
Si un pirate ou un service de marketing peu scrupuleux réussit à obtenir votre vraie adresse courriel, ça peut avoir des conséquences.
D'abord, il existe de nombreux sites de recherche de personnes qui permettent de relier une adresse courriel à d'autres informations privées, comme votre nom, votre adresse physique ou votre numéro de téléphone.
Aussi, une fois votre vraie adresse connue, vous devenez une cible de choix pour les tentatives d'hameçonnage (phishing) et les messages indésirables.
Enfin, pour les gens qui utilisent cette fonction pour des raisons sensibles (activisme, dénonciation ou pour échapper à du harcèlement), cette faille représente un risque direct pour leur sécurité.
Quoi faire pour se protéger?
Au moment d'écrire ces lignes, Apple n'a pas encore déployé de correctif définitif, bien qu'une mise à jour de sécurité soit « attendue dans les prochaines semaines ».
D'ici là, voici quelques conseils.
Ne comptez pas uniquement sur Apple
Continuez d'utiliser des adresses différentes pour chaque site est toujours une bonne pratique, mais c'est important de savoir que votre adresse principale pourrait être exposée.
Si vous avez besoin d'un anonymat total pour une inscription très sensible, considérez d'autres services d'alias de courriel, comme Yopmail en attendant qu'Apple règle le dossier.
Faites supprimer vos données
Si vous avez peur que votre adresse se soit retrouvée entre les mains de firmes de courtages de données, vous pouvez utiliser un service comme Incogni afin d'exiger la suppression de vos informations.
Faites vos mises à jour iOS
Au final, restez aux aguets pour les prochaines mises à jour de vos appareils Apple (iOS, macOS), car c'est là que le correctif débarquera (bientôt, on l'espère)!