Une vulnérabilité dans la fonctionnalité Hide My Email d'Apple, utilisée par des millions d'abonnés iCloud+ pour masquer leurs vraies boîtes de réception, a permis à des attaquants de découvrir ces adresses cachées — et l'entreprise n'a pas appliqué de correctif depuis plus d'un an.
« Les utilisateurs de Hide My Email méritent de savoir qu'il est possible pour des attaquants de découvrir leurs adresses e-mail cachées », a déclaré Tyler Murphy, cofondateur du service de suppression de données EasyOptOuts, à 404 Media.
Murphy a découvert le bug en juin 2025 et l'a signalé à Apple. L'entreprise a répondu un mois plus tard en disant qu'elle enquêtait. En mars 2026, Apple a affirmé que le problème avait été résolu via une modification du système, mais Murphy a constaté que la vulnérabilité restait exploitable. Lors de tests menés avec des volontaires, 100 % des adresses Hide My Email étaient vulnérables, selon la propre vérification de 404 Media.
Le bug sape un argument de vente central du service iCloud+ d'Apple, qui facture ses abonnés pour des fonctionnalités de confidentialité incluant Hide My Email, iCloud Private Relay et HomeKit Secure Video. Les actions Apple se négocient à environ 30 fois les bénéfices prévisionnels, les revenus des services — incluant les abonnements iCloud — ayant atteint 26,3 milliards de dollars au cours de l'exercice 2025, faisant de ce segment un moteur de croissance clé alors que les ventes de matériel ralentissent.
La vulnérabilité permet à quiconque ayant accès à un alias Hide My Email de le retracer jusqu'à la véritable adresse e-mail Apple ID de l'utilisateur en quelques minutes, a déclaré Murphy. Les sites de recherche de personnes accessibles publiquement permettent ensuite de lier facilement cette adresse e-mail à d'autres informations personnelles telles que les numéros de téléphone et les adresses physiques, amplifiant le risque pour la vie privée au-delà de l'écosystème Apple.
Apple n'a pas divulgué les détails techniques de l'exploit, et 404 Media a retenu les spécificités pour empêcher une exploitation active. Le média a confirmé que le bug était toujours actif au 1er juillet 2026, après avoir vérifié le problème en utilisant l'une de ses propres adresses générées.
Ce n'est pas la première fois que les promesses de confidentialité d'Apple sont décevantes. En 2022, l'entreprise a fait face à un recours collectif après que des applications iPhone ont continué à envoyer des données d'analyse à Apple même lorsque le paramètre d'analyse iPhone était désactivé. En 2023, des chercheurs ont découvert que la fonctionnalité de randomisation d'adresse MAC d'Apple — conçue pour anonymiser les utilisateurs sur les réseaux Wi-Fi — exposait en réalité la véritable adresse MAC.
Le timing aggrave les dégâts. En juin 2026, Apple a annoncé aux développeurs qu'elle cesserait de générer des adresses Hide My Email avec le domaine @icloud.com pour passer à @privaterelay.appleid.com, un changement que TechCrunch a rapporté comme rendant plus facile pour les sites web de bloquer les inscriptions anonymes. Ce changement de domaine, combiné à la vulnérabilité non résolue, soulève des questions sur l'engagement d'Apple envers la promesse fondamentale de confidentialité de la fonctionnalité.
Pour les investisseurs, le risque réputationnel est significatif. Apple a construit sa prime de marque autour de la confidentialité, le directeur général Tim Cook qualifiant à plusieurs reprises celle-ci de « droit humain fondamental ». Une érosion soutenue de cette confiance pourrait peser sur la croissance des abonnements iCloud+, qui contribuent au segment des services ayant généré 26,3 milliards de dollars de revenus au cours de l'exercice 2025 — environ 22 % du chiffre d'affaires total. Apple n'a pas répondu à une demande de commentaire.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.