Une vulnérabilité affectant la fonction Hide My Email, intégrée à l’abonnement iCloud+ d’Apple, expose les utilisateurs à un risque majeur de récupération de leur adresse mail réelle. Signalée dès juin 2025, cette faille permet de contourner le dispositif de protection en moins de cinq minutes, selon Journal du Geek. Pourtant, malgré l’annonce d’un correctif par Apple en mars 2026, la brèche reste exploitable à ce jour.

Ce qu'il faut retenir

  • Une faille dans Hide My Email permet de retrouver l’adresse mail réelle d’un utilisateur en moins de cinq minutes.
  • Le problème a été signalé à Apple en juin 2025, mais n’a pas été résolu malgré l’annonce d’un correctif en mars 2026.
  • iCloud+, l’abonnement payant d’Apple incluant cette fonction, est concerné par cette vulnérabilité.
  • La faille exploite un mécanisme de récupération des adresses masquées, contournant ainsi la protection promise.

Une fonction conçue pour protéger la vie privée… mais vulnérable

La fonction Hide My Email, proposée dans le cadre de l’abonnement iCloud+, permet aux utilisateurs d’Apple de masquer leur adresse mail principale lorsqu’ils s’inscrivent à des services en ligne. L’objectif est simple : éviter la propagation de leur adresse personnelle et limiter les risques de spam ou de phishing. Pourtant, selon les investigations menées par Journal du Geek, cette protection présente une faille critique.

Un chercheur en cybersécurité a démontré que, en exploitant un biais dans le système de récupération des adresses masquées, il est possible de retrouver l’adresse réelle d’un utilisateur en quelques minutes seulement. « Cette faille transforme un outil conçu pour sécuriser les données en un risque majeur pour la vie privée », a expliqué le spécialiste à Journal du Geek. Le temps nécessaire pour mener cette attaque, inférieur à cinq minutes, rend l’exploitation accessible même à des acteurs peu expérimentés.

Apple annonce un correctif, mais la menace persiste

Face à cette révélation, Apple a reconnu l’existence du problème et a annoncé, en mars 2026, le déploiement d’un correctif pour colmater la brèche. Pourtant, à la date du 6 juillet 2026, la faille reste pleinement exploitable. « Nous avons identifié la source du problème et travaillons activement à une solution », a déclaré un porte-parole d’Apple à Journal du Geek. Aucune date précise n’a été communiquée quant à la disponibilité du patch définitif.

Cette situation soulève des questions sur l’efficacité des mécanismes de réponse d’Apple face aux vulnérabilités critiques. Alors que les utilisateurs d’iCloud+ s’attendent à une protection renforcée de leurs données, cette faille illustre les limites des dispositifs de sécurité, même lorsqu’ils sont conçus par un géant de la tech. Autant dire que la confiance dans la protection des adresses masquées se trouve aujourd’hui ébranlée.

Et maintenant ?

D’ici à la publication du correctif par Apple, les utilisateurs de Hide My Email sont exposés à un risque accru de récupération de leur adresse mail réelle. Les experts en cybersécurité recommandent de limiter l’usage de cette fonction en attendant une mise à jour stable, ou de privilégier des alternatives de masquage d’adresse moins vulnérables. Une conférence de presse d’Apple, prévue pour mi-juillet 2026, devrait apporter des précisions sur l’état d’avancement du correctif et les mesures envisagées pour rassurer les utilisateurs.

Cette faille rappelle une fois encore que, même les systèmes les plus aboutis, peuvent présenter des lacunes imprévues. Dans un contexte où la protection des données personnelles devient un enjeu central, les utilisateurs doivent rester vigilants et exiger des acteurs technologiques une transparence totale sur les risques encourus.

À ce jour, il n’existe aucun moyen pour un utilisateur de détecter si son adresse mail réelle a été récupérée via cette faille. Apple n’a pas communiqué de mécanisme de vérification ou d’alerte dédié. Les experts recommandent de surveiller les activités suspectes sur les comptes liés à l’adresse masquée, comme des tentatives de connexion inhabituelles ou des emails de phishing ciblés.

Plusieurs services tiers, comme SimpleLogin ou Firefox Relay, proposent des fonctionnalités similaires de masquage d’adresse mail. Ces solutions, souvent gratuites ou peu coûteuses, permettent de rediriger les emails vers une adresse principale tout en protégeant l’identité de l’utilisateur. Leur principal avantage réside dans une approche plus transparente et des mécanismes de sécurité régulièrement mis à jour.