Passer au contenu

Hide My Email : l’énorme bug d’Apple qui met en danger votre adresse mail !

Une faille dans la fonction Hide My Email d’Apple, signalée depuis juin 2025, permet de retrouver la véritable adresse mail d’un utilisateur en moins de cinq minutes, malgré les promesses d’iCloud+. Apple a annoncé un correctif en mars 2026, mais la brèche reste pleinement exploitable.

Voilà une faille embarrassante pour Apple, qui se targue pourtant d’être l’entreprise la plus précautionneuse avec la vie privée de ses utilisateurs. Tous les abonnés au service iCloud+ bénéficient de nombreuses fonctionnalités premium liées à la confidentialité. Parmi celles-ci, on retrouve Hide My Email (Masquer mon e-mail, en français), dont la fiabilité est aujourd’hui remise en question…

Lorsque vous choisissez de vous connecter à un site internet grâce à Apple, cette fonction vous propose de choisir entre votre adresse mail perso ou une adresse factice, créée pour l’occasion par Apple. Avec cette fausse adresse, Apple veut que votre boîte mail reste sûre en cas de fuite de données sur le site en question. Toutes les communications émanant du site sur lequel vous vous serez inscrit avec l’adresse iCloud seraient redirigées vers votre boîte privée.

Le problème, c’est qu’une importante faille de sécurité présente dans cette fonction permettrait de retrouver la véritable adresse e-mail que l’outil est justement censé dissimuler. Selon 404 Media, cette faille est connue des équipes de développement d’Apple depuis des années, mais elle reste pleinement exploitable.

Une première alerte en 2025

On retrouve le chercheur Tyler Murphy derrière cette découverte. Celle-ci est même assez frappante, puisqu’il a réalisé une démonstration auprès d’un journaliste de 404 Media durant laquelle il est parvenu à retrouver son adresse réelle en moins de cinq minutes.

“La fonctionnalité « Masquer mon e-mail » d’Apple divulgue des adresses e-mail censées être masquées”, explique-t-il. “Les utilisateurs de « Hide My Email » méritent de savoir qu’il est possible que des pirates découvrent leurs adresses e-mail masquées.”

Le problème, c’est que Tyler Murphy aurait signalé pour la première fois la faille à Apple en juin 2025, avec les instructions pour la reproduire. Un mois plus tard, Apple aurait indiqué se pencher sur le problème pour enfin annoncer en mars 2026 que le problème serait résolu “via un récent changement système”. Murphy constate que la faille est toujours exploitable et fournit alors des informations supplémentaires à Apple, qui lui aurait demandé de ne rien divulguer.

Nous avons signalé ce problème ainsi que les instructions permettant de le reproduire à Apple il y a plus d’un an. Nous ne savons pas pourquoi il n’a pas encore été corrigé, mais nous ne sommes pas très à l’aise à l’idée d’attendre plus longtemps. – Tyler Murphy, chercheur et cofondateur d’EasyOptOuts.

Tyler Murphy poursuit en expliquant que 100% des adresses fictives créées par iCloud+ sont vulnérables. Pour des questions évidentes de sécurité, il ne révèle pas la technique permettant d’accéder à la véritable adresse. L’inaction d’Apple soulève toutefois des questions quant à ses véritables intentions…

🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.

Mode