2 Remove Virus

Le défaut d’Apple Hide My Email pourrait révéler les véritables adresses e-mail des utilisateurs

Une vulnérabilité dans la fonctionnalité d’Apple Hide My Email pourrait permettre aux attaquants de découvrir la véritable adresse e-mail derrière un alias anonyme, sapant l’un des outils phares de confidentialité de l’entreprise, selon des chercheurs en sécurité et des tests indépendants réalisés par 404 Media .

 

 

Hide My Email , disponible dans le cadre de l’abonnement iCloud+ d’Apple, permet aux utilisateurs de générer des alias de courriels aléatoires qui transmettent les messages vers leur boîte de réception principale. Cette fonctionnalité est conçue pour empêcher les sites web, applications et autres services d’apprendre la véritable adresse e-mail d’un utilisateur tout en réduisant le spam et en protégeant la vie privée en ligne.

Le problème a été découvert par Tyler Murphy, cofondateur de la société de confidentialité EasyOptOuts, qui a signalé la vulnérabilité à Apple en juin 2025. Murphy a indiqué qu’Apple avait reconnu le rapport et indiqué qu’il serait corrigé, mais plus d’un an plus tard, la faille reste exploitable.

Pour éviter de mettre les utilisateurs en plus grand danger, 404 Media n’a pas publié les détails techniques de la vulnérabilité. Cependant, le média a vérifié indépendamment les résultats en générant un nouvel Hide My Email alias et en le fournissant à Murphy, qui a pu identifier la véritable adresse e-mail liée au compte Apple en environ cinq minutes.

« Nous ne connaissons pas toute l’ampleur du problème, mais dans nos tests limités avec des bénévoles, 100 % des Hide My Email adresses étaient exploitables », a déclaré Murphy à 404 Media. Il a ajouté que les services de recherche publique pourraient rendre la vulnérabilité encore plus dangereuse en permettant aux attaquants de relier une adresse e-mail exposée à d’autres informations personnelles.

Selon Murphy, Apple l’a initialement informé en mars 2026 que le problème avait été résolu. Après de nouveaux tests, il a cependant constaté que la vulnérabilité fonctionnait toujours et a fourni à Apple des preuves supplémentaires. Dans des communications ultérieures, Apple aurait déclaré qu’elle poursuivait ses enquêtes et s’attendait à publier un correctif dans une future mise à jour de sécurité. À ce jour, aucun patch n’a été publié.

Cette divulgation intervient alors qu’Apple prépare un autre changement à Hide My Email . L’entreprise prévoit de migrer tous les alias générés vers le domaine @private.icloud.com, remplaçant ainsi le mélange actuel d’adresses @icloud.com et @privaterelay.appleid.com. Certains défenseurs de la vie privée ont averti que les sites web pourraient simplement bloquer le nouveau domaine, réduisant ainsi l’utilité de la fonctionnalité même si la vulnérabilité est finalement corrigée.

Pour les utilisateurs qui comptent Hide My Email sur la séparation de leur identité de leurs comptes en ligne, cette faille pourrait avoir des implications importantes sur la vie privée. Exposer une véritable adresse e-mail peut permettre aux attaquants de corréler des comptes sur plusieurs services, de faciliter des campagnes de phishing ou de découvrir des informations personnelles supplémentaires via des bases de données publiques.

Apple n’a pas rendu public les détails techniques du problème ni annoncé quand une correction sera disponible. Jusqu’à ce que la vulnérabilité soit corrigée, les chercheurs en sécurité recommandent de la traiter Hide My Email comme une couche supplémentaire de confidentialité plutôt qu’une garantie d’anonymat, notamment lorsqu’il s’agit de protéger des identités sensibles.