Apple n’a toujours pas corrigé la faille de Hide My Email

Plus d’un an après le signalement de Tyler Murphy, cofondateur d’EasyOptOuts, en juin 2025, Apple n’aurait toujours pas corrigé une faille touchant Hide My Email, la fonction d’iCloud+ qui génère des alias e-Mail aléatoires. Le point le plus préoccupant est là: un attaquant pourrait, en théorie, remonter jusqu’à l’adresse e-mail réelle cachée derrière un alias justement créé pour ne pas l’exposer.

Pour les utilisateurs qui comptent sur cette option pour réduire le pistage, éviter le spam ou simplement protéger leur identité, ce n’est pas un détail. Et l’ampleur potentielle n’a rien de marginal non plus: une étude citée en 2023 estimait qu’environ 55 % des utilisateurs de Mail sur iPhone avaient activé la fonction.

Hide My Email sert à créer des adresses jetables qui transfèrent ensuite les messages vers la boîte principale de l’utilisateur. Le principe tient en une ligne: s’inscrire à un site ou à une newsletter sans donner sa vraie adresse.

Si cette protection saute, c’est toute la promesse de confidentialité du service qui prend un coup.

La vulnérabilité a été repérée par Tyler Murphy, cofondateur d’EasyOptOuts. D’après lui, le signalement a été envoyé à Apple en juin 2025.

Toujours selon Tyler Murphy, Apple a bien accusé réception du rapport et a même indiqué, à un certain moment, que le problème avait été pris en charge. Malgré cela, la faille serait encore présente aujourd’hui.

Pour l’instant, les détails techniques de l’exploitation n’ont pas été rendus publics, justement pour éviter de faciliter d’éventuels abus.

On ne dispose donc pas encore d’éléments publics permettant de savoir dans quelles conditions exactes ce scénario d’attaque pourrait être reproduit à grande échelle. Prudence, donc. Nous continuerons à suivre le sujet.

Exposer une adresse e-mail n’est pas seulement pénible au quotidien. Tyler Murphy pointe aussi un risque plus large, qui touche directement à la vie privée et à la sécurité.

Des services de recherche de personnes accessibles au public peuvent faire le lien entre une adresse e-mail et d’autres informations personnelles: nom, anciennes adresses, numéros de téléphone, proches, profils associés.

Pour certains, Hide My Email ne sert pas juste à tenir le spam à distance. C’est une vraie couche de protection.

Journalistes, personnes victimes de harcèlement, militants, ou plus largement toute personne qui essaie de séparer les différentes parties de sa vie numérique, pourraient se retrouver davantage exposés si leur adresse principale peut être retrouvée.

Il faut quand même garder une chose en tête: Hide My Email n’a jamais été présenté comme un outil d’anonymat absolu. Dans d’autres contextes, Apple a déjà transmis à la justice, sur réquisition légale, des informations liées au service.

La fonction protège surtout face aux sites web, au marketing agressif et au suivi commercial. Elle n’a jamais eu vocation à bloquer les demandes des autorités.

Autre élément assez étonnant, Apple prévoit aussi de faire passer les nouveaux alias Hide My Email sur le domaine dédié « @private.icloud.com ».

Jusqu’à présent, ces alias utilisaient le domaine plus classique « @icloud.com ». Sur le papier, ce changement peut rendre l’usage plus clair. En pratique, certains critiques estiment qu’il risque d’affaiblir l’intérêt du service: un site pourrait repérer beaucoup plus facilement qu’une adresse correspond à un alias privé Apple, puis décider de la refuser ou de la bloquer.

Apple n’a donc pas qu’une faille à corriger. L’entreprise doit aussi prouver que Hide My Email reste un outil de confidentialité crédible, au moment même où son fonctionnement devient plus identifiable.

Suivez-moi sur Twitter: @pierrevitre

Author: Chema Carvajal Sarabia

{ "de-DE": "Journalist, spezialisiert auf Technologie, Unterhaltung und Videospiele. Über das zu schreiben, was mich begeistert (Gadgets, Spiele und Filme), ermöglicht es mir, bei Verstand zu bleiben und mit einem Lächeln im Gesicht aufzuwachen, wenn der Wecker klingelt. PS: Das stimmt nicht 100% der Zeit.", "en-US": "Journalist specialized in technology, entertainment and video games. Writing about what I'm passionate about (gadgets, games and movies) allows me to stay sane and wake up with a smile on my face when the alarm clock goes off. PS: this is not true 100% of the time.", "es-ES": "Content Manager - Periodista especializado en tecnología, entretenimiento y videojuegos. Escribir sobre lo que me apasiona (cacharros, juegos y cine) me permite seguir cuerdo y despertarme con una sonrisa cuando suena el despertador. PD: esto no es cierto el 100 % de las veces.", "fr-FR": "Journaliste spécialisé dans la technologie, le divertissement et les jeux vidéo. Écrire sur ce qui me passionne (gadgets, jeux et films) me permet de rester sain d'esprit et de me réveiller avec le sourire aux lèvres quand le réveil sonne. PS : cela n'est pas vrai 100 % du temps.", "it-IT": "Giornalista specializzato in tecnologia, intrattenimento e videogiochi. Scrivere di ciò che mi appassiona (gadget, giochi e film) mi permette di mantenere la sanità mentale e di svegliarmi con un sorriso sul viso quando suona la sveglia. PS: questo non è vero al 100% del tempo.", "ja-JP": "", "nl-NL": "", "pl-PL": "", "pt-BR": "Jornalista especializado em tecnologia, entretenimento e videogames. Escrever sobre o que me apaixona (gadgets, jogos e filmes) me permite manter a sanidade e acordar com um sorriso no rosto quando o despertador toca. PS: isso não é verdade 100% do tempo.", "social": { "email": "chemacs91@gmail.com", "facebook": "", "twitter": "https://twitter.com/chematopetazo", "linkedin": "" } }