La promesse était simple. Vous vous inscrivez à une newsletter sommaire, achetez un gadget étrange ou vous connectez à un site qui semble n’avoir pas été mis à jour depuis 2014. Au lieu de leur donner votre véritable adresse, vous leur donnez une fausse.
C’est la vente de Hide My Email d’Apple. Un pseudonyme temporaire. Bouclier de confidentialité. Aucun suivi.
Sauf que le bouclier a des trous. Des gros.
Un nouveau recours collectif, Alvarez contre Apple Inc., a atterri mercredi en Californie. Les allégations sont vives. Apple a vendu un avantage en matière de confidentialité qui ne fonctionne apparemment pas comme annoncé. Fausse publicité, fraude, rupture de contrat. Les plaignants veulent de l’argent, mais ils veulent aussi qu’Apple répare le trou dans leur armure ou admette qu’il est là.
Comment la vulnérabilité Masquer mon courrier électronique expose vos données
Voici la mécanique du désastre. Masquer mon e-mail permet aux utilisateurs d’iCloud Plus de générer des adresses e-mail aléatoires. Ces adresses acheminent le courrier vers votre boîte de réception principale. Ils ont l’air légitimes. Ils se terminent par « iCloud.com ».
Cette fin de domaine est le problème.
Les chercheurs en sécurité ont découvert que les outils d’identité en ligne standard pouvaient procéder à une rétro-ingénierie de ces alias. Vous saisissez l’adresse temporaire sur un site de recherche, et celui-ci renvoie la véritable adresse e-mail de l’utilisateur. Taux de réussite de 100 % aux premiers tests, selon 404 Media.
Une fois qu’un mauvais acteur a cette véritable adresse, il ne s’arrête pas là. Ils le connectent aux bases de données des archives publiques. Nom, adresse, numéro de téléphone. Ou bien ils le croisent avec des fuites de mots de passe.
La faille a été signalée à Apple en juin 2025 par un chercheur associé à Easy Opt Outs. Apple le savait. La poursuite affirme qu’ils l’ont laissé corrigé, sans correctif, tout en continuant à commercialiser la fonctionnalité comme étant sécurisée.
Pourquoi attendre un procès pour corriger un bug ? La chronologie est trouble. Apple n’a pas encore commenté. Le silence est plus fort que n’importe quel communiqué de presse.
Quels utilisateurs Apple peuvent rejoindre le recours collectif pour masquer mon e-mail ?
Si vous vous demandez si vos données existent, vous avez des questions.
- Quels comptes sont concernés ? Uniquement les abonnés iCloud Plus payants.
- Où sont les cibles ? La poursuite couvre les utilisateurs Apple à travers les États-Unis, mais cible spécifiquement un sous-ensemble en Californie.
- Quand puis-je m’inscrire ? Nulle part. Pas encore.
La certification d’un recours collectif prend une éternité. Les tribunaux doivent l’approuver. Ils doivent décider qui est admissible. L’article promet de mettre à jour les lecteurs lorsque les portails d’inscription s’ouvriront, mais maintenant ? C’est un modèle d’attente.
Ne vous précipitez pas pour poursuivre. Attendez les gardiens légaux.
Pourquoi la future mise à jour d’Apple pourrait tuer le bouclier de protection des données
Il y a une autre couche à ce gâchis. Apple n’ignore pas seulement le bug. Ils changent la fonctionnalité.
Plus tard cet été, les alias changent de domaine. Plus de « @icloud.com ». Ce sera désormais « @private.icloud.com ».
Sur le papier, cela semble plus sûr. Un domaine dédié à la confidentialité. Mais regardez de plus près.
De nombreux sites Web filtrent les e-mails qu’ils ne peuvent pas vérifier ou reconnaître. Si « private.icloud.com » est mis sur liste noire par les principaux formulaires d’inscription, que se passe-t-il ? Les utilisateurs Apple sont obligés de choisir : donnez-leur votre véritable adresse pour des raisons de confidentialité ou utilisez un générateur tiers sommaire.
Est-ce que c’est de la vie privée ? Ou est-ce simplement déplacer le risque ailleurs ?
Comment protéger votre identité dès maintenant
Vous ne pouvez pas annuler les expositions passées. Si votre pseudonyme a été supprimé en juin, il est dans la nature. Vous ne pouvez pas supprimer une ombre.
Mais vous pouvez resserrer l’avenir.
- Arrêtez d’utiliser Masquer mon e-mail pour les comptes critiques. Si vous ne parvenez pas à vérifier si un alias est exposé, utilisez une stratégie différente. Alias Proton Mail, services de domaine simple ou simplement comptes Gmail dédiés séparés.
- Surveillez les notifications de violation. Puisque la véritable adresse peut être liée, vérifiez HaveIBeenPwned.
- Gardez un œil sur le procès. Alvarez c. Apple Inc. pourrait créer un précédent. Si le tribunal estime qu’Apple a agi en toute connaissance de cause, la pression monte pour une véritable solution, et non une solution cosmétique.
La technologie était censée offrir une protection invisible. Cela a l’air assez visible.
Apple va-t-il le corriger ? Le changer ? Ou simplement argumenter devant le tribunal ?
Le code ne ment pas, mais les avocats parleront suffisamment pour noyer les serveurs. Pour l’instant, faites un peu moins confiance à la fonctionnalité. Supposons que tout ce que vous envoyez a une trace jusqu’à vous.
Même si vous pensiez que c’était caché.






























