FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • Vérification d’âge de l’UE, un festival de failles

    Vérification d’âge de l’UE, un festival de failles

    Écrit par
    Stanislas Tarnowski
    Journaliste
    11.05.26
    Gestion des risques Transformation numérique
    11
    MIN
    Vérification d’âge de l’UE, un festival de failles
    Vérification d’âge de l’UE, un festival de failles
    Vérification d’âge de l’UE, un festival de failles
    Image Wiz révèle une faille critique dans GitHub
    Gestion des risques
    04.05.26 Gestion des risques
    Prochain article
    Wiz révèle une faille critique dans GitHub
    Lire
    01
    MIN
    Image RSSI et DPO : complémentarité ou schizophrénie des fonctions ?
    Cyber +
    24.04.26 Cyber +
    Prochain article
    RSSI et DPO : complémentarité ou schizophrénie des fonctions ?
    Lire
    05
    MIN
    Image Anthropic enquête après un accès non autorisé à son modèle d’IA Mythos
    Gestion des risques
    22.04.26 Gestion des risques
    Prochain article
    Anthropic enquête après un accès non autorisé à son modèle d’IA Mythos
    Lire
    02
    MIN
    Image La DGSI met en garde les entreprises contre les applications et logiciels étrangers
    Gestion des risques
    22.04.26 Gestion des risques
    Prochain article
    La DGSI met en garde les entreprises contre les applications et logiciels étrangers
    Lire
    02
    MIN
    Prête, sûre et respectueuse de la vie privée, l’app de vérification d’âge proposée par la Commission aux États membres ? Ursula von der Leyen semble s’être emportée en présentant ce qui n’est qu’un prototype. Pourtant, même pour une version de travail, ses nombreuses failles ont de quoi inquiéter, d’autant que cette app est censée préfigurer le portefeuille d’identité digitale européen. Analyse.

    Quand ça ne veut pas, ça ne veut pas.

    L’UE accumule les loupés avec son application de vérification d’âge. Le 15 avril 2026, Ursula von der Leyen annonce que « notre application européenne de vérification de l’âge est prête techniquement et sera bientôt disponible pour les citoyens ». Selon la présidente de la Commission européenne, elle « respecte les normes de confidentialité les plus strictes au monde. Son code source est ouvert, donc chacun peut le consulter ». « C’est ce que j’ai fait. Il ne m’a pas fallu longtemps pour découvrir ce qui semble être un grave problème de confidentialité», lui a répondu Paul Moore, chercheur en cybersécurité.

    Le 17, en réponse aux critiques, la Commission sort une version « durcie » de son prototype. « Honnêtement, je ne sais pas si je devrais en rire ou en pleurer», s’indigne quelques jours plus tard Paul Moore, pointant de nouvelles failles. Pourtant, le 29 avril, « la Commission européenne invite instamment les pays de l’UE à accélérer le déploiement de l’appli européenne de vérification de l’âge, dans le but de la mettre à la disposition des citoyens d’ici la fin 2026 ».

    Si l’affaire a fait du bruit dans le landerneau de la cybersécurité et bien au-delà, c’est au moins autant à cause de la communication catastrophique de Bruxelles que pour le fond de l’affaire. Tout d’abord, Ursula von der Leyen s’est vantée que cette application a été conçue sur le modèle du pass sanitaire, qui reste aux yeux d’une partie significative de la population un mauvais souvenir aux relents liberticides.

    L’identité digitale en filigrane

    Mais surtout, ce qui a été présenté au public n’a en fait rien de l’application « prête techniquement » qu’a vendue Ursula von der Leyen au public, causant d’évidents tiraillements entre les politiques et les opérationnels de Bruxelles. Après la révélation du premier fiasco, Thomas Regnier, porte-parole pour la souveraineté technologique, la défense et l’espace, a admis que « quand on dit que c’est une version finale, c’est encore une version de démonstration… le code sera constamment mis à jour et amélioré », ce que confirment d’ailleurs les notes de développement de l’app sur GitHub. « Oui, [la version finale de l’application] est prête. On pourrait peut-être ajouter : “et elle peut toujours être améliorée” », a pourtant contré Paula Pinho, porte-parole en chef de la Commission européenne.

    Outre la volonté politique de la Commission de pousser à l’adoption du contrôle d’âge sur les réseaux sociaux, la collaboratrice d’Ursula von der Leyen avait peut-être d’autres raisons d’affirmer contre l’évidence que l’application était finalisée. Cette dernière est en effet explicitement arrimée au futur European Digital Identity Wallet. La Commission l’appelle même un « mini-wallet » : un portefeuille réduit, dont les « spécifications techniques sont alignées sur celles des portefeuilles d’identité numérique de l’UE» (EUIDW). La Commission précise aussi que l’outil peut être publié comme application autonome ou intégré dans un portefeuille d’identité numérique. Ce point est décisif : l’application de vérification d’âge sert à la fois de solution transitoire pour appliquer le DSA et de cas d’usage grandeur nature pour l’identité numérique européenne.

    Un an et demi et quatre millions pour une démo

    On comprend dès lors que la Commission, qui a fixé à fin 2026 l’adoption de l’EU Digital Identity Wallets par les pays membres à fin 2026, soit un peu nerveuse sur le sujet. La perte de crédibilité de l’un rejaillit sur l’autre, d’autant que le développement de cette application, confiée au consortium T-Scy (Scytales + T-Systems), fait partie d’un appel d’offres de quatre millions d’euros, pour le « développement, conseil et assistance pour une solution de vérification de l’âge », qui court depuis fin 2024 et qui est piloté par la DG CONNECT – Direction générale des réseaux de communication, des contenus et des technologies de la Commission.

    Un an et demi et quatre millions, c’est beaucoup de temps et d’argent pour quelque chose qui ressemble clairement à une démo codée sur un coin de table, à en croire les retours d’experts. En théorie, l’application est censée prouver votre âge sans révéler votre identité. L’utilisateur établit son âge dans l’app via une identité électronique, un passeport, une carte d’identité, une application bancaire ou un tiers physique type bureau de poste.

    Puis l’application présente une preuve anonyme au site, qui la valide et accorde l’accès à l’internaute. La Commission promet le double anonymat : l’émetteur vérifie l’âge, mais ne sait pas où la preuve sera utilisée. Le site reçoit une confirmation d’âge anonyme, soit directement via l’app dans le téléphone, soit quand l’utilisateur scanne un QR code qui s’affiche sur le site dans le cas d’une navigation sur ordinateur.

    Respect de la vie privée, un réel défi

    Et en pratique ? Le prototype peine à tenir ses promesses. Dans sa première version, avant de produire la preuve anonyme, il manipule des images très sensibles – passeport, selfie – et les laisse sur le téléphone. En cas d’échec de la procédure, les données biométriques contenues dans votre passeport et chargées dans l’appareil ne sont pas effacées. C’est comme promettre de brûler le formulaire papier après usage, mais oublier les photocopies dans le couloir. Une faille sérieuse si le téléphone est compromis, rooté, mal configuré, partagé, sauvegardé de manière indiscrète, ou si une autre application obtient des permissions trop larges.

    La V2 de l’application prétend corriger ce défaut, mais, selon Paul Moore, si les images sont désormais bien supprimées après utilisation, elles ne seraient toujours pas chiffrées par l’application durant leur courte durée de vie.

    En tout état de cause, l’app pose un réel défi en termes de respect de la vie privée. Elle tient sa promesse dans un cadre précis : une fois la preuve générée, le site ne voit pas l’identité de l’utilisateur. Mais pour garantir un anonymat en sortie, elle concentre un maximum de données en entrée. C’est une logique classique en cryptographie appliquée, mais qui déplace le risque plutôt qu’elle ne l’élimine.

    De plus, la modification de quelques fichiers de configuration permet de contourner le nombre d’essais du code PIN, voire de changer celui-ci ou de contourner la vérification biométrique, afin d’accéder à son contenu ou de modifier le paramètre d’âge enregistré. Là encore, l’exploitation de la faille suppose un téléphone rooté ou un accès physique à l’appareil déjà déverrouillé. Si cela limite la portée de la faille, celle-ci met sérieusement à mal le discours sur une application qui respecterait « les normes de confidentialité les plus strictes au monde ».

    Une porte béante

    Autant de points que la V2 affirme avoir corrigés, sauf que pour ce faire, affirme Paul Moore, les développeurs ont utilisé des composants Android obsolètes depuis 2020 ou 2025. De même, l’app n’est plus censée tourner sur les téléphones rootés ou jailbreakés, mais la note de développement précise que les déploiements en production devraient compléter le patch par des mécanismes plus forts. Paul Moore confirme que les procédés employés, archaïques, sont très facilement contournables. Enfin, le PIN a bien été encrypté dans le patch… mais avec un chiffrement ancien, là aussi bien trop faible pour un PIN, le laissant potentiellement à la merci d’une attaque hors ligne.

    Par ailleurs, Olivier Laurelli, dit « Bluetouff », hacker et cofondateur du site Web reflets.info, a repéré dans la version iOS une porte béante : cette version comprend une configuration qui permet d’accepter des certificats autosignés, ce qui peut ouvrir une faille MITM (man in the middle), un tiers capable de se placer sur le chemin réseau qui pourrait intercepter, observer ou altérer le trafic. Un tel procédé est acceptable uniquement pour du test local, en phase de développement, à condition d’être strictement isolé et documenté comme tel.

    En revanche, si ce mécanisme passait en production ou si le paramétrage permettait à un acteur tiers de l’activer discrètement, cette faille serait exploitable par des attaquants ou par une autorité disposant d’un point d’interception, pour surveiller ou manipuler des échanges. Rien ne dit que cette configuration resterait en l’état dans une version définitive de l’app, mais, pour cela, il faudrait que personne ne prenne au mot Ursula von der Leyen…

    « Un défaut de conception fondamental »

    Le festival de failles ne s’arrête pourtant pas là. Paul Moore a porté la logique du prototype dans une extension pour le navigateur Chrome. Celle-ci se configure à loisir, sans laisser son identité ou des données biométriques, et trompe les sites visités. La preuve cryptographique est valide, mais la chaîne entre cette preuve, l’appareil, l’utilisateur réel et la session Web est rompue. En clair, le système pense communiquer avec l’application officielle sur un téléphone, mais, en réalité, il communique avec une extension de navigateur qui imite suffisamment bien l’application pour être crue.

    « L’extension détecte le code QR, génère une charge utile cryptographiquement identique et indique au vérificateur que j’ai plus de 18 ans, ce à quoi il “fait entièrement confiance”. Ce n’est pas un bug… c’est un défaut de conception fondamental qu’ils ne peuvent résoudre sans lier irrévocablement une clé à votre personne ; ce qui permet ensuite le suivi/la surveillance », affirme Paul Moore.

    De fait, l’architecture officielle repose sur des preuves non corrélables et à usage unique. Mais dans la pratique, plus on renforce le système pour éviter les contournements – en liant les clés à un appareil, en vérifiant l’intégrité, en empêchant les clients alternatifs – plus on crée les conditions techniques d’une traçabilité accrue. Si les preuves demeurent parfaitement non corrélables, le risque de surveillance est contenu. 

    « Un outil de surveillance vendu comme “respectueux de la vie privée” » ?

    Si elles ne le sont pas, ou si les correctifs exigent de les attacher durablement à l’utilisateur, alors le système cesse d’être un rideau de confidentialité, il devient un portique et l’on passe sur le Web d’un régime de liberté à un régime d’autorisation. Pavel Durov, patron de Telegram, exprime bien cette crainte sous-jacente : « Un outil de surveillance vendu comme “respectueux de la vie privée” ». En résumé, le système ne peut pas être à la fois parfaitement anonyme, parfaitement robuste et totalement incontrôlable par les utilisateurs. Il doit arbitrer.

    Et l’arbitrage côté Commission semble pencher du côté du contrôle le plus strict. Interrogée à propos des VPN, qui pourraient être utilisés pour contourner les restrictions d’âge européennes, Henna Virkkunen s’est montrée ferme. La vice-présidente exécutive de la Commission européenne a ainsi expliqué que «quand nous établissons des règles, nous devons avoir les moyens de les faire respecter […] Et cela fait partie de nos prochaines étapes d’éviter ces contournements. » On croirait entendre Anne Le Hénanff, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, après le vote de la Loi Miller : « Ce n’est qu’un début, les VPN, c’est le prochain sujet sur ma liste ». Une dérive dangereuse en termes de sécurité : traiter le VPN comme une astuce de collégien revient à oublier qu’il est surtout une brique de base de la cybersécurité moderne. Mais aussi une dérive dangereuse en termes de libertés publiques. Et là, ce n’est pas un bug applicatif.

    Stanislas Tarnowski
    11.05.26
    Articles du même auteur :
    1
    04.05.26 Cyber stabilité
    Lecornu face aux fuites de données, beaucoup de bruit pour rien ?
    Lire
    11
    MIN
    2
    28.04.26 Cyber stabilité
    Nos données de recherche Google dans la nature ? Le compte à rebours est lancé !
    Lire
    11
    MIN
    3
    27.04.26 Cyber stabilité
    Mythos, boîte de Pandore ou mystification ?
    Lire
    11
    MIN
    4
    13.04.26 Cyber stabilité
    Forum INCYBER 2026 Face à la dépendance numérique, le réveil européen ?
    Lire
    11
    MIN
    Image Wiz révèle une faille critique dans GitHub
    Gestion des risques
    04.05.26 Gestion des risques
    Prochain article
    Wiz révèle une faille critique dans GitHub
    Lire
    01
    MIN
    Image RSSI et DPO : complémentarité ou schizophrénie des fonctions ?
    Cyber +
    24.04.26 Cyber +
    Prochain article
    RSSI et DPO : complémentarité ou schizophrénie des fonctions ?
    Lire
    05
    MIN
    Image Anthropic enquête après un accès non autorisé à son modèle d’IA Mythos
    Gestion des risques
    22.04.26 Gestion des risques
    Prochain article
    Anthropic enquête après un accès non autorisé à son modèle d’IA Mythos
    Lire
    02
    MIN
    Image La DGSI met en garde les entreprises contre les applications et logiciels étrangers
    Gestion des risques
    22.04.26 Gestion des risques
    Prochain article
    La DGSI met en garde les entreprises contre les applications et logiciels étrangers
    Lire
    02
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.