Une faille de sécurité dans Hide My Email d'Apple, signalée en juin 2025 et toujours non corrigée en juillet 2026, permet à un attaquant de retrouver l'adresse iCloud réelle d'un utilisateur à partir d'un alias généré... La seule réponse publique d'Apple — le passage au domaine @private.icloud.com — ne corrige pas l...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What vulnerability has persisted for over a year in Apple's Hide My Email feature, how does it un. Article summary: Here is the full fact-checked breakdown of the Hide My Email vulnerability, Apple's response, and the broader privacy concerns.. Topic tags: general, general web, user generated, government. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it usef
La fonction Hide My Email d'Apple est présentée comme un moyen pour les abonnés iCloud+ de générer des adresses e-mail jetables et anonymes qui transfèrent les messages vers leur boîte de réception sans jamais révéler leur adresse réelle. Mais une vulnérabilité de sécurité découverte il y a plus d'un an permet encore à quiconque a accès à un alias généré de découvrir la véritable adresse iCloud de l'utilisateur en quelques minutes — et Apple ne l'a pas vraiment corrigée.
Le chercheur en sécurité Tyler Murphy, co-fondateur d'EasyOptOuts, a découvert un bug qui permet à un attaquant de retrouver l'adresse e-mail iCloud réelle d'un utilisateur à partir d'un alias Hide My Email généré aléatoirement . Lors d'un test mené avec 404 Media, une adresse Hide My Email fraîchement créée a été retracée jusqu'à la véritable adresse Apple ID de l'utilisateur en environ cinq minutes
. La vulnérabilité affecte les deux types d'adresses générées —
@icloud.com et @privaterelay.appleid.com — et lors des tests, la méthode a fonctionné dans 100 % des cas contre les alias nouvellement créés .
Hide My Email est une fonctionnalité phare de l'abonnement iCloud+ qui promet de permettre aux utilisateurs de créer des adresses e-mail anonymes et jetables qui transfèrent les messages vers leur boîte de réception sans jamais exposer l'adresse réelle . Ce bug brise complètement cette promesse : toute personne ayant accès à un alias généré (un site web, un courtier en données ou un acteur malveillant) peut potentiellement découvrir l'adresse e-mail réelle de l'utilisateur, anéantissant l'objectif de la fonctionnalité en matière de confidentialité, de lutte contre le pistage et de prévention des spams
.
@private.icloud.com, remplaçant l'ancienne scission entre @icloud.com et @privaterelay.appleid.com Ce changement ne corrige pas la vulnérabilité sous-jacente. Au lieu de cela, il rend la fonctionnalité pire pour la confidentialité d'une manière différente . Auparavant, un alias Hide My Email (par exemple,
abc123@icloud.com) était indistinguable d'une adresse e-mail iCloud personnelle ordinaire, de sorte que les sites web ne pouvaient pas déterminer si un utilisateur était anonyme . Le nouveau domaine
@private.icloud.com marque sans ambiguïté chaque adresse comme un alias de confidentialité, rendant trivial pour tout site web ou service de bloquer, signaler ou refuser les inscriptions anonymes . Les défenseurs de la vie privée ont décrit cela comme une mesure qui « supprime toute cette ambiguïté » et rend la fonctionnalité moins utile pour son objectif principal
.
Au 1er juillet 2026, la vulnérabilité principale reste non corrigée — plus d'un an après la divulgation initiale .
Le fait qu'Apple n'ait pas véritablement corrigé la vulnérabilité de traçage inversé depuis plus d'un an — malgré avoir prétendu l'avoir patchée en mars 2026 — soulève des questions sur le processus de réponse en matière de sécurité d'Apple et sur la question de savoir si les fonctionnalités de confidentialité d'iCloud+ bénéficient d'une attention technique suffisante .
En mars 2026, plusieurs médias ont rapporté qu'Apple a donné au FBI la véritable adresse e-mail iCloud liée à un alias Hide My Email lors d'une enquête pour menaces . Des documents judiciaires ont montré qu'Apple a divulgué l'identité d'au moins deux abonnés iCloud+ ayant utilisé la fonctionnalité
. Bien que les conditions d'utilisation d'Apple aient toujours permis cela pour les demandes légales, cet épisode a révélé la quantité d'informations qu'Apple peut et va transmettre — y compris la correspondance entre les alias et les comptes réels
. Cela contredit l'impression marketing de « masquage » anonyme des e-mails et a érodé davantage la confiance dans les promesses de confidentialité de la fonctionnalité
.
@private.icloud.com — ne résout pas la vulnérabilité et permet au contraire aux services de bloquer plus facilement les utilisateurs anonymes Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Une faille de sécurité dans Hide My Email d'Apple, signalée en juin 2025 et toujours non corrigée en juillet 2026, permet à un attaquant de retrouver l'adresse iCloud réelle d'un utilisateur à partir d'un alias généré...
Une faille de sécurité dans Hide My Email d'Apple, signalée en juin 2025 et toujours non corrigée en juillet 2026, permet à un attaquant de retrouver l'adresse iCloud réelle d'un utilisateur à partir d'un alias généré... La seule réponse publique d'Apple — le passage au domaine @private.icloud.com — ne corrige pas la vulnérabilité et permet au contraire aux sites web de détecter et bloquer facilement les inscriptions anonymes.