Connexion Premium

Une faille dans la fonction Hide My Email d’Apple peut révéler l’adresse principale

Cachez cet émail que je ne saurais voir

Une faille dans la fonction Hide My Email d’Apple peut révéler l’adresse principale

Illustration : Flock

La fonction Hide My Email (masquer mon e-mail) est victime d’une faille. Signalée l’année dernière, elle permet de retrouver la véritable adresse d’un utilisateur, faisant perdre l’intérêt de cette fonction pensée pour la vie privée. En outre, un changement de domaine prévu par l’entreprise pourrait encore affaiblir son efficacité.

« Masquer mon adresse e-mail » est une fonction lancée en 2021 et proposée par Apple à toutes les personnes disposant d’un compte iCloud+. On peut l’obtenir notamment avec n’importe quel abonnement lié au stockage, même l’offre de 50 Go à 0,99 euro par mois. Elle permet, lors de l’inscription à un service, via un site ou une application, de créer automatiquement une fausse adresse, généralement composée de deux mots aléatoires et d’un chiffre, et reliée à l’adresse principale.

Cette fonction contient une faille, révèle 404 Media. Nos confrères ont échangé avec Tyler Murphy, découvreur de la vulnérabilité et cofondateur de la société EasyOptOuts, qui commercialise un service de suppression des données personnelles.

Apple prend son temps

Tyler Murphy a contacté Apple pour la première fois le 11 juin 2025, il y a donc plus d’un an. Le mois suivant, Apple a répondu qu’elle allait examiner le problème. Avance rapide jusqu’en mars 2026, quand Apple signale apparemment avoir « résolu le problème signalé dans une récente modification du système ». Le découvreur, de son côté, dit constater que la faille est toujours exploitable, ce à quoi Apple a répondu qu’elle se repenchait sur le problème.

En mai, l’entreprise a signalé être toujours en cours d’investigation et demandé à Tyler Murphy de ne divulguer aucune information publiquement, le temps que l’enquête soit terminée. Fin mai, Apple a annoncé qu’un correctif a été développé et qu’il serait appliqué « dans les prochaines semaines ». Mais le 29 juin, sans nouvelles, le découvreur finit par contacter 404 Media, qui publie son article deux jours plus tard.

Source : AppleInsider

Dans cette publication, le journaliste Joseph Cox indique avoir généré une nouvelle adresse masquée et l’avoir transmise à Tyler Murphy. Environ cinq minutes plus tard, ce dernier lui a communiqué son adresse e-mail réelle liée à son compte Apple. Selon Murphy, dans les tests limités menés avec des volontaires, 100 % des adresses « Masquer mon adresse e-mail » testées se sont révélées exploitables de cette manière, montrant au passage que le problème n’était toujours pas résolu, plus d’un an après son signalement.

Le découvreur souligne un risque concret lié à l’écosystème des courtiers en données : les sites de recherche de personnes, gratuits et accessibles au public, permettent facilement de relier une adresse e-mail à d’autres informations personnelles, ce qui expose les utilisateurs s’appuyant sur « Masquer mon adresse e-mail » pour leur sécurité. Ce risque touche particulièrement les personnes utilisant le service à des fins sensibles : pour échapper à un harcèlement, lancer une alerte ou encore pour de l’activisme.

404 Media, TechCrunch et d’autres acteurs de la presse en ligne ont contacté Apple pour obtenir des informations, mais l’entreprise n’a pas encore répondu.

Mauvais timing

Si la faille fait parler, c’est parce qu’Apple ne communique pas à son sujet… et aussi parce que l’entreprise prépare un changement qui pourrait affaiblir la sécurité de son service.

TechCrunch a abordé le problème dans un article le 16 juin. Nos confrères expliquent que l’efficacité de « Masquer mon adresse e-mail » tient beaucoup à l’utilisation du même domaine pour les fausses adresses que pour les vraies : elles finissent toutes par « @icloud.com ». Mais dans une note aux développeurs publiée le 15 juin, Apple indique qu’elle va unifier les domaines utilisés aussi bien pour sa fonction « Connexion avec Apple » (qui permet de créer facilement un compte chez un tiers depuis le compte Apple) que par « Masquer mon adresse e-mail » : private.icloud.com.

Et de résumer le changement, qui interviendra « plus tard » cet été :

  • Les adresses utilisées par « Connexion avec Apple », jusqu’ici sur le domaine privaterelay.appleid.com, seront émises sur private.icloud.com.
  • Les adresses utilisées par « Masquer mon adresse e-mail », jusqu’ici sur le domaine icloud.com, seront émises sur private.icloud.com.

Or, depuis environ deux semaines que l’information est parue, beaucoup critiquent ce changement, notamment sur Reddit. En dehors du changement lui-même qui peut révéler instantanément qu’il s’agit d’une fausse adresse, la critique qui revient le plus souvent est la capacité des entreprises à bloquer plus simplement ce type d’adresse.

« Hide My Email est efficace précisément parce que tu ne peux pas facilement filtrer les adresses qu’il génère. Je serais très surpris si on ne voit pas des services commencer à refuser de te laisser t’inscrire avec un domaine private.icloud.com. Ça sent l’industrie qui fait pression sur Apple, ce qui est hilarant puisque ça a essentiellement tué la principale métrique que les spécialistes du marketing par e-mail utilisaient pour mesurer la performance (ce qui était bien, les clics sont une bien meilleure métrique à optimiser) », juge ainsi l’utilisateur MalevolentFerret.

Problème : si Apple a communiqué sur le changement, l’entreprise n’a rien dit sur les raisons qui la poussaient à cette unification. S’il s’agit réellement d’une pression de l’industrie, il est possible qu’un nombre croissant de services finissent en effet par rejeter les créations de comptes basées sur ces fausses adresses.

Apple précise quand même dans sa note que toutes les adresses déjà en place continueront de fonctionner de la même manière. La modification ne concernera que les adresses créées après la bascule, dont la date exacte n’est pas connue.

TechCrunch rappelle en outre que si un utilisateur iCloud+ peut effectivement créer de fausses adresses, Apple garde en main les informations qui permettent de la relier au compte réel, les fausses adresses fonctionnant – dans les grandes lignes – comme un alias. L’entreprise en a donné la preuve fin mars, lorsqu’elle a remis au FBI les informations d’un utilisateur qui avait utilisé une adresse masquée pour un courrier jugé « menaçant » à la compagne de Kash Patel, directeur du FBI.

Commentaires (0)