Un abonné iCloud+ a envoyé un e-mail menaçant via une adresse anonymisée. Apple a livré son identité au FBI sans résistance. Pour les utilisateurs français, la leçon fait un rappel salvateur.
L'affaire aurait pu passer inaperçue. Comme le révèlent 404 Media et Court Watch, un document judiciaire américain détaille comment Apple a transmis au FBI le nom réel d'un abonné iCloud+. Cet utilisateur se croyait protégé par la fonction « Masquer mon e-mail ». La mécanique que l'affaire expose concerne tous les abonnés, y compris en France.
Une adresse « anonyme », un nom réel livré en quelques jours
Les faits remontent à fin février 2026. Un homme, Alden Ruml, a utilisé une adresse iCloud+ générée automatiquement. Sa cible : Alexis Wilkins, compagne du directeur du FBI Kash Patel. Le message contenait des menaces explicites de violence armée.
- storage5 Go de stockage
- securityPas de chiffrement natif
- alternate_emailPas de domaine personnalisé
- smartphoneApplication iOS disponible
- push_pinJurisdiction USA
Le FBI a adressé une assignation à Apple. La firme de Cupertino a transmis les données associées au compte. L'adresse anonymisée était rattachée à un compte iCloud au nom de Ruml. Apple a aussi indiqué que ce compte avait généré 134 adresses masquées au total. Interrogé ensuite par les agents, Ruml a confirmé être l'auteur du message.
Ce qui frappe ici, ce n'est pas qu'Apple coopère avec la justice. Ses conditions d'utilisation le prévoient explicitement, et la firme publie des rapports de transparence semestriels sur ce sujet. Ce qui frappe, c'est l'écart entre la promesse marketing et la réalité technique.
« Garder votre adresse privée » ne signifie pas « rester invisible »
Apple présente « Masquer mon e-mail » comme un outil pour « garder votre adresse personnelle privée ». La formulation est calibrée. Elle ne mentionne jamais le mot « anonymat ». Mais pour un abonné iCloud+ qui paie à partir de 0,99 euro par mois, la confusion est facile à faire.
La raison est structurelle. Pour que le transfert de courrier fonctionne, Apple doit connaître la correspondance entre l'adresse masquée et l'adresse réelle. Cette donnée n'est pas chiffrée de bout en bout. Même avec la Protection avancée des données activée, les alias restent accessibles côté serveur. C'est une limite technique, pas un choix discutable.
Pour les utilisateurs français, le mécanisme légal diffère. Le RGPD impose des garde-fous supplémentaires. Mais Apple, société américaine, reste soumise au Cloud Act. Si les données d'un abonné européen transitent par des serveurs américains, elles peuvent faire l'objet d'une demande judiciaire outre-Atlantique. Le Relais privé iCloud pose d'ailleurs un problème similaire : il masque l'adresse IP, pas l'identité.
Pour la faire simple, « Masquer mon e-mail » protège contre le spam et le pistage commercial. Face à une assignation judiciaire, la protection tombe en une requête.
