Une vulnérabilité affectant la fonction « Hide My Email » d’Apple permettrait à un attaquant de découvrir l’adresse électronique réelle que l’utilisateur cherche à dissimuler. La faille, signalée pour la première fois en juin 2025, n’a toujours pas été résolue, selon les chercheurs qui l’ont découverte.
Le service Hide My Email, accessible aux abonnés iCloud+, génère des adresses aléatoires et uniques servant d’intermédiaire entre l’utilisateur et ses correspondants. L’objectif est de préserver la confidentialité de l’adresse personnelle lors d’inscriptions sur des sites ou d’envois de messages. D’après les travaux des chercheurs, cette protection peut être contournée.
Les cofondateurs d’EasyOptOuts, société spécialisée dans la suppression de données personnelles, ont identifié une première vulnérabilité le 11 juin 2025 et l’ont immédiatement signalée à Apple. Le constructeur a reconnu que la fonctionnalité « n’a pas pour but, par conception, de permettre la découverte de l’adresse masquée » et a sollicité davantage d’informations. Les chercheurs ont fourni un rapport détaillé le 13 juin, puis des éléments supplémentaires le 20 juin. Une seconde faille, similaire mais distincte, a été rapportée le 9 juillet suivant.
Le 14 juillet 2025, Apple a accusé réception et indiqué que les vulnérabilités étaient en cours d’examen. Le 3 mars 2026, la firme a annoncé avoir déployé des correctifs et demandé aux chercheurs de vérifier leur efficacité. Ceux-ci ont alors reproduit les scénarios d’exploitation et constaté, le 19 mars, que les problèmes persistaient. Le 22 mai 2026, ils ont informé Apple que l’ampleur et la gravité de la vulnérabilité étaient probablement plus importantes qu’initialement estimé. Cette communication n’a pas reçu de réponse. Le 30 juin 2026, Apple a de nouveau affirmé avoir corrigé les failles, mais les tests des chercheurs ont montré qu’elles étaient toujours exploitables.
Un tiers de confiance a pu vérifier le constat en testant la vulnérabilité sur une adresse masquée appartenant à un journaliste. Les résultats ont confirmé qu’il est possible de remonter jusqu’à l’adresse réelle.
Par souci de protection des utilisateurs, les chercheurs ont choisi de ne pas divulguer les détails techniques de l’exploitation tant qu’un correctif n’est pas déployé. « Les utilisateurs de Hide My Email méritent de savoir qu’il est possible que des attaquants découvrent leurs adresses électroniques cachées », ont déclaré Ben et Tyler, cofondateurs d’EasyOptOuts. Ils estiment que la firme de Cupertino devrait, en attendant une résolution définitive, limiter la création de nouvelles adresses Hide My Email et informer l’ensemble des abonnés du risque encouru.
Apple n’a pas communiqué publiquement sur le sujet à ce stade. Aucune mise à jour de sécurité n’a été publiée pour corriger les failles identifiées. Les experts appellent les utilisateurs à la vigilance lorsqu’ils emploient cette fonctionnalité pour des communications sensibles, dans l’attente d’une solution définitive.