Lecture Zen Résumer l'article Une faille critique dans le service Hide My Email d'iCloud+, connue depuis plus d'un an, met en péril l'adresse personnelle d'utilisateurs, laissant un risque important d'exposition de données personnelles sensibles. Malgré l'alerte donnée à Apple par Tyler Murphy dès juin 2025, et la promesse d'un correctif imminent, la vulnérabilité reste encore exploitable, poussant le chercheur à rendre l'affaire publique en raison de l'inaction d'Apple. La situation se complique alors qu'Apple envisage de modifier l'architecture de Hide My Email, une décision qui pourrait diminuer l'efficacité de la fonctionnalité et remettre en cause la protection de la vie privée des utilisateurs.

Une faille critique dans le service Hide My Email d'iCloud+, connue depuis plus d'un an, met en péril l'adresse personnelle d'utilisateurs, laissant un risque important d'exposition de données personnelles sensibles. Malgré l'alerte donnée à Apple par Tyler Murphy dès juin 2025, et la promesse d'un correctif imminent, la vulnérabilité reste encore exploitable, poussant le chercheur à rendre l'affaire publique en raison de l'inaction d'Apple. La situation se complique alors qu'Apple envisage de modifier l'architecture de Hide My Email, une décision qui pourrait diminuer l'efficacité de la fonctionnalité et remettre en cause la protection de la vie privée des utilisateurs.

Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Depuis plus d’un an, Apple serait en connaissance d’une vulnérabilité permettant à quiconque de retrouver l’adresse réelle derrière un alias généré par la fonction de confidentialité d’iCloud+. La marque ne l’a pas corrigé. C’est une faille encore béante, dont les détails n’ont pas été divulgués afin d’éviter qu’elle soit exploitée par des hackers.

Elle concerne Hide My Email, la fonctionnalité payante d’iCloud+ censée permettre de créer des adresses e-mail jetables et anonymes pour s’inscrire à des services en ligne. Problème, une vulnérabilité permet de remonter jusqu’à l’adresse personnelle d’un utilisateur. C’est ce que révèle 404 Media, qui a testé le dispositif en conditions réelles.

Le site américain a généré une adresse Hide My Email et l’a transmise à Tyler Murphy, cofondateur de la société de protection de la vie privée EasyOptOuts, à l’origine de la découverte. En cinq minutes, celui-ci est parvenu à établir le lien avec l’adresse e-mail réelle associée au compte Apple. Selon l’expert, toutes les adresses testées lors d’essais menés avec des volontaires se sont révélées vulnérables à la même méthode.

Hide my Email est une fonctionnalité disponible sur iCloud+ // Source : Apple Un signalement resté sans effet depuis juin 2025 Le problème n’a rien d’une découverte récente. Tyler Murphy affirme avoir alerté Apple dès juin 2025, en fournissant des instructions permettant de reproduire la faille. Le fabricant a répondu un mois plus tard pour indiquer qu’il examinait la question.

En mars 2026, Apple a assuré avoir « traité le problème signalé dans une récente modification du système », une affirmation démentie par le chercheur qui assure que la faille reste encore aujourd’hui exploitable. En mai, Apple lui a demandé de ne pas rendre l’information publique, invoquant une enquête toujours en cours. Tyler Murphy a alors suggéré de suspendre temporairement la commercialisation de Hide My Email le temps de corriger le problème, une proposition restée sans réponse.

Fin mai 2026, Apple a fini par annoncer un correctif « dans les semaines à venir ». Faute de nouvelles avancées, Murphy a choisi de rendre l’affaire publique via 404 Media. Un risque amplifié par les sites de recherche de données personnelles Sollicité à plusieurs reprises par le média américain, Apple n’a pas répondu aux demandes de commentaire.

Tyler Murphy rappelle que le problème dépasse la simple fuite d’e-mail. Une fois l’adresse réelle exposée, il devient facile de la relier à d’autres informations personnelles, nom, adresse postale, numéro de téléphone. Les utilisateurs qui s’appuient sur Hide My Email pour se protéger, notamment dans des contextes sensibles, pourraient ainsi se retrouver exposés sans le savoir.

404 Media souligne par ailleurs que cette affaire tombe mal pour Apple, qui modifie déjà en parallèle l’architecture de Hide My Email. Selon un autre média américain, TechCrunch, la firme s’apprête à abandonner le domaine @icloud.com au profit d’un nouveau format d’adresse, plus facilement identifiable, et donc bloquable, par les sites tiers, remettant en cause l’utilité même du produit. Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Installer Numerama Anticipez le futur en vous inscrivant gratuitement à ToujoursPlus, la newsletter tech de référence. Plus d'actu Apple Siri AI en Europe : Tim Cook tente d’apaiser les tensions avec la Commission européenne Ces six failles dans AirDrop et Quick Share permettent de faire planter des appareils à proximité Des vidéos de l’iPhone 18 Pro ont fuité : Apple est victime d’un piratage de grande ampleur Récemment augmenté, le MacBook Neo d’Apple tombe en promotion pour les soldes M6, M7 Pro, M5 Ultra… Accrochez-vous, les prochaines puces d’Apple pourraient sortir dans le désordre Elon Musk défend Apple et la hausse historique de ses prix : que se passe-t-il vraiment ?

Crédit photo de la une : montage Numerama Signaler une erreur dans le texte email faille iCloud Cybercriminalité Tech Ne plus voir cette pub Ne plus voir cette pub