📅 Source et contexte : Article publié le 8 juillet 2026 sur cybersecurity360.it, basé sur des révélations du chercheur Tyler Murphy (cofondateur d’EasyOptOuts) et relayées en premier par 404 Media.
🔍 Nature de la vulnérabilité : La fonction ‘Masquer mon adresse e-mail’ (Hide My Email) d’Apple iCloud+, lancée en 2021, génère des adresses email éphémères pour protéger l’identité des utilisateurs lors d’inscriptions en ligne. Un bug dans cette fonction expose les vraies adresses email des utilisateurs dans les échanges de communications, rendant la protection ineffective.
📆 Chronologie :
- Juin 2025 : Tyler Murphy signale la vulnérabilité à Apple avec instructions de reproduction
- Mars 2026 : Apple répond en affirmant avoir résolu le problème — ce que Murphy infirme après vérification
- Mai 2026 : Apple reconnaît que l’investigation est toujours en cours et demande à Murphy de ne pas divulguer publiquement
- Juillet 2026 : La vulnérabilité est rendue publique ; Apple prévoit un correctif pour l’été 2026, sans solution trouvée à ce jour
⚠️ Impact : Les adresses email réelles des utilisateurs ayant utilisé la fonction restent visibles dans les échanges de communications, permettant potentiellement à des acteurs malveillants de relier des identités éphémères à des identités réelles. Le DPO Christian Bernieri souligne que les utilisateurs ayant fait confiance à cette protection ont pu adopter des comportements plus exposés (utilisation sur des sites sensibles, services personnels).
🏛️ Divulgations légales connexes :
- Mars 2026 : L’FBI a obtenu d’Apple le nom complet, l’adresse email réelle et les données de 134 comptes liés à des adresses éphémères dans le cadre d’une enquête concernant des menaces contre Alexis Wilkins
- Homeland Security Investigations (ICE) a également reçu des informations sensibles sur un utilisateur suspecté de fraude d’identité ayant créé des dizaines d’adresses via la fonction
📌 Type d’article : Article de presse spécialisée combinant divulgation de vulnérabilité, analyse d’impact sur la vie privée et contexte de coopération d’Apple avec les forces de l’ordre, visant à informer les utilisateurs iCloud+ du risque actuel.
🧠 TTPs et IOCs détectés
TTP
- T1589.002 — Gather Victim Identity Information: Email Addresses (Reconnaissance)
🔴 Indice de vérification factuelle : 23/100 (basse)
- ⬜ cybersecurity360.it — source non référencée (0pts)
- ✅ 6759 chars — texte complet (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 1 TTP(s) MITRE (8pts)
- ⬜ date RSS ou approximée (0pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.cybersecurity360.it/news/apple-e-la-privacy-cosa-insegna-il-caso-del-bug-in-nascondi-la-mia-email/