
Une faille de confidentialité affecterait la fonctionnalité Hide My Email d’Apple, au point de permettre l’identification de l’adresse e-mail réelle liée à un compte Apple à partir d’une adresse générée.
Le chercheur en sécurité Tyler Murphy indique que ses tests ont montré un taux de réussite de 100 % sur les adresses créées via Hide My Email, permettant à un attaquant de remonter à l’e-mail réel associé au compte Apple. Selon lui, le problème a été signalé à Apple il y a plus d’un an et n’aurait toujours pas été corrigé.
Le média 404 Media affirme avoir vérifié l’existence de la vulnérabilité, tout en refusant d’en publier les détails techniques tant qu’elle reste exploitable.
Dans sa déclaration à 404 Media, Tyler Murphy explique avoir transmis à Apple le problème et des instructions de reproduction il y a plus d’un an. Apple aurait indiqué enquêter, puis avoir annoncé un correctif en mars, sans que Murphy constate la résolution effective. Murphy indique avoir de nouveau contacté Apple, l’entreprise demandant de ne pas rendre la faille publique avant correction.
Apple aurait ensuite évoqué une prise en charge en juin. En l’absence de correction constatée, Murphy dit avoir décidé de rendre publique l’existence du problème, sans toutefois partager les détails d’exploitation.
Ce signalement intervient alors qu’Apple a récemment annoncé l’adoption future d’un nouveau domaine commun, private.icloud.com, pour les adresses Hide My Email. Cette évolution a aussi suscité des critiques, certains estimant qu’un domaine dédié pourrait être plus facilement bloqué par des entreprises souhaitant limiter l’usage de la fonctionnalité.
Crédit image : Apple / James Lee (Unsplash).