Plus d’un an après le signalement de Tyler Murphy, cofondateur d’EasyOptOuts, en juin 2025, Apple n’aurait toujours pas corrigé une faille touchant Hide My Email, la fonction d’iCloud+ qui génère des alias e-Mail aléatoires. Le point le plus préoccupant est là: un attaquant pourrait, en théorie, remonter jusqu’à l’adresse e-mail réelle cachée derrière un alias justement créé pour ne pas l’exposer.
Pour les utilisateurs qui comptent sur cette option pour réduire le pistage, éviter le spam ou simplement protéger leur identité, ce n’est pas un détail. Et l’ampleur potentielle n’a rien de marginal non plus: une étude citée en 2023 estimait qu’environ 55 % des utilisateurs de Mail sur iPhone avaient activé la fonction.
Hide My Email sert à créer des adresses jetables qui transfèrent ensuite les messages vers la boîte principale de l’utilisateur. Le principe tient en une ligne: s’inscrire à un site ou à une newsletter sans donner sa vraie adresse.
Si cette protection saute, c’est toute la promesse de confidentialité du service qui prend un coup.
La vulnérabilité a été repérée par Tyler Murphy, cofondateur d’EasyOptOuts. D’après lui, le signalement a été envoyé à Apple en juin 2025.
Toujours selon Tyler Murphy, Apple a bien accusé réception du rapport et a même indiqué, à un certain moment, que le problème avait été pris en charge. Malgré cela, la faille serait encore présente aujourd’hui.
Pour l’instant, les détails techniques de l’exploitation n’ont pas été rendus publics, justement pour éviter de faciliter d’éventuels abus.
On ne dispose donc pas encore d’éléments publics permettant de savoir dans quelles conditions exactes ce scénario d’attaque pourrait être reproduit à grande échelle. Prudence, donc. Nous continuerons à suivre le sujet.
Exposer une adresse e-mail n’est pas seulement pénible au quotidien. Tyler Murphy pointe aussi un risque plus large, qui touche directement à la vie privée et à la sécurité.
Des services de recherche de personnes accessibles au public peuvent faire le lien entre une adresse e-mail et d’autres informations personnelles: nom, anciennes adresses, numéros de téléphone, proches, profils associés.
Pour certains, Hide My Email ne sert pas juste à tenir le spam à distance. C’est une vraie couche de protection.
Journalistes, personnes victimes de harcèlement, militants, ou plus largement toute personne qui essaie de séparer les différentes parties de sa vie numérique, pourraient se retrouver davantage exposés si leur adresse principale peut être retrouvée.
Il faut quand même garder une chose en tête: Hide My Email n’a jamais été présenté comme un outil d’anonymat absolu. Dans d’autres contextes, Apple a déjà transmis à la justice, sur réquisition légale, des informations liées au service.
La fonction protège surtout face aux sites web, au marketing agressif et au suivi commercial. Elle n’a jamais eu vocation à bloquer les demandes des autorités.
Autre élément assez étonnant, Apple prévoit aussi de faire passer les nouveaux alias Hide My Email sur le domaine dédié « @private.icloud.com ».
Jusqu’à présent, ces alias utilisaient le domaine plus classique « @icloud.com ». Sur le papier, ce changement peut rendre l’usage plus clair. En pratique, certains critiques estiment qu’il risque d’affaiblir l’intérêt du service: un site pourrait repérer beaucoup plus facilement qu’une adresse correspond à un alias privé Apple, puis décider de la refuser ou de la bloquer.
Apple n’a donc pas qu’une faille à corriger. L’entreprise doit aussi prouver que Hide My Email reste un outil de confidentialité crédible, au moment même où son fonctionnement devient plus identifiable.
Suivez-moi sur Twitter: @pierrevitre