Coûteuse, erronée et facilement contournable : L’application de vérification d’âge prévue par l’UE s’avère être un risque majeur en matière de sécurité. Des modifications simples dans les fichiers de configuration permettent aux attaquants de contourner le système de protection des données sans difficulté.
La vérification d’âge de l’UE sous le feu des critiques
La Commission européenne projette de lancer une application de vérification d’âge pour les réseaux sociaux. La présidente de la Commission, Ursula von der Leyen, a annoncé que cette application pourrait bientôt être opérationnelle. Elle serait conçue comme un document d’identité numérique reposant sur un système de preuves à divulgation nulle de connaissance (Zero-Knowledge Proof). Ainsi, les plateformes recevraient uniquement la confirmation de l’âge sans connaître l’identité des utilisateurs.
Cependant, des experts en sécurité expriment de vives inquiétudes. Ils critiquent l’architecture de cette application open-source, mettant en lumière des vulnérabilités sérieuses. Un problème clé réside dans le stockage local de données sensibles sur les appareils. Un lancement prématuré pourrait nuire à la confiance envers des projets futurs liés à l’identité numérique, tels que le portefeuille numérique EUDI.
L’expert en sécurité informatique, Paul Moore, a démontré que le système peut être contourné rapidement. Bien qu’une PIN soit attribuée lors de l’installation et stockée de manière sécurisée, elle n’est pas liée de façon cryptographique aux données d’identité. Cela constitue un risque pour la protection des données. En altérant certains paramètres dans les fichiers de configuration, la PIN peut être réinitialisée après un redémarrage, tout en conservant les données vérifiées. D’autres vulnérabilités incluent la possibilité de contourner les restrictions sur les tentatives de saisie de la PIN en réinitialisant un compteur, ainsi que la désactivation de l’authentification biométrique par une simple modification d’un paramètre.
Des améliorations indispensables
Bien que le code ouvert permette une analyse rapide par des experts indépendants, la Commission européenne défend ce projet d’environ quatre millions d’euros, développé par Scytales et Deutsche Telekom. Les solutions d’identité de ce type nécessitent des procédés cryptographiques complexes, où des erreurs dans la mise en œuvre ont souvent entraîné des incidents de sécurité.
Selon la Commission, il s’agit d’une version non finale qui est en constante révision. Les systèmes Zero-Knowledge sont réputés difficiles à mettre en œuvre car ils doivent exclure toute déduction sur les données originales. Les faiblesses récemment mises en évidence touchent le lien entre le stockage local et les vérifications cryptographiques. De plus, des critiques remettent en question l’efficacité des contrôles d’âge techniques, notant qu’il est possible de contourner les blocages géographiques via des VPN.
Quelle est votre opinion sur les projets de l’UE concernant cette vérification d’âge ? N’hésitez pas à partager vos réflexions sur les préoccupations en matière de sécurité et sur l’approche adoptée dans les commentaires ci-dessous.
- Présentation d’une application de vérification d’âge par l’UE en avril 2026
- Des chercheurs en sécurité contournent les protections en quelques minutes et critiquent le design
- La PIN et le stockage d’identité ne sont pas liés de manière cryptographique
- Les valeurs de configuration permettent la réinitialisation de la PIN, des attaques par force brute et des astuces biométriques
- Le code ouvert facilite la détection d’erreurs, le projet coûtant quatre millions
- Avant son déploiement dans 27 États, une révision robuste est nécessaire
Points à retenir
- Des experts soulignent les dangers posés par le stockage local des données sensibles.
- Le risque de contournement rapide pose des questions sur la robustesse du système.
- Des améliorations techniques pourraient renforcer la sécurité avant un déploiement global.
- Le débat se poursuit sur l’efficacité réelle des systèmes de vérification d’âge.
- La perception du public et la confiance envers les solutions numériques sont cruciales.
En effet, la mise en place d’une telle application soulève des interrogations légitimes sur la sécurité et la confidentialité. J’ose penser que la transparence et la rigueur sont indispensables pour établir une confiance durable dans les projets numériques. La route sera semée d’embûches, mais c’est un enjeu essentiel pour l’avenir de notre société numérique. Quels seront les impacts à long terme sur notre vie privée et notre accès à la technologie ? C’est là une discussion qui mérite réflexion.