● 01net 📅 17/04/2026 à 12:00

Vers une « fuite de données massive » : l'app de vérification de l’âge de l’Europe est criblée de failles

Cybersécurité 👤 Florian Bayard
Illustration
© Christian Wiediger (Unsplash) L’Europe vient de mettre au point son application de vérification de l’âge. Malheureusement, cette app, présentée comme « techniquement prête », est truffée de vulnérabilités préoccupantes. Pour un chercheur, l’app risque de provoquer une « fuite de données massive » à un moment donné. Cette semaine, la Commission européenne a annoncé l’arrivée de son application de vérification de l’âge pour les plateformes en ligne. Comme l’a expliqué Ursula von der Leyen, la présidente de la Commission européenne, l’application est désormais « techniquement prête ». Développée en collaboration avec sept pays membres, dont la France, elle doit venir s’intégrer aux portefeuilles d’identité numérique nationaux déjà existants. Sur le papier, l’application permet à un internaute de prouver qu’il est majeur à une plateforme sans lui transmettre ses données personnelles. « Les utilisateurs prouveront leur âge sans révéler aucune autre information personnelle. C’est complètement anonyme. L’utilisateur ne pourra pas être pisté », a déclaré Ursula von der Leyen, soulignant qu’il « reste maintenant à l’intégrer dans nos solutions en développement et à rendre obligatoire la vérification de l’âge via ces outils pour l’accès aux réseaux sociaux ». Dans le sillage de l’annonce, Ursula von der Leyen a souligné que l’application était open source. Rapidement mis en ligne sur Github, le code de l’application peut être consulté par n’importe quel expert en sécurité informatique. La présidente de la Commission a d’ailleurs invité tous les chercheurs à se pencher sur celui-ci. À lire aussi : Reddit passe aussi à la vérification d’identité en prenant bien garde de ne pas faire une Discord Un « sérieux problème de vie privée » C’est ce qu’a fait le consultant en cybersécurité Paul Moore. Sur son compte X, le chercheur indique avoir passé au crible tout le code source de l’application… et qu’il n’a « pas fallu longtemps pour trouver ce qui ressemble à un sérieux problème de vie privée ». L’expert explique avoir débusqué une faille qui lui a permis de pirater l’application « en moins de 2 minutes ». .@vonderleyen “The European #AgeVerification app is technically ready. It respects the highest privacy standards in the world. It’s open-source, so anyone can check the code…” I did. It didn’t take long to find what looks like a serious #privacy issue. The app goes to great… pic.twitter.com/z8SYc3YBKJ — Paul Moore – Security Consultant  (@Paul_Reviews) April 15, 2026 Lors de la configuration de l’application, l’utilisateur crée un code PIN. Ce PIN est chiffré puis stocké dans un simple fichier de configuration, ce qui représente une grossière erreur de cybersécurité. Selon le consultant, le code PIN ne devrait pas être stocké tel quel. Seule l’empreinte mathématique de ce PIN, ce qu’on appelle un hash, devrait être stockée par l’application dans le fichier de configuration. Ce procédé évite que le code PIN tombe entre de mauvaises mains. En l’état, l’application permet à un attaquant d’accéder aux données de l’utilisateur. Concrètement, un attaquant qui supprime le PIN du fichier de configuration peut simplement demander à l’app d’en créer un nouveau. L’app lui ouvre alors aussitôt l’accès aux données d’identité de la victime, sans aucune vérification supplémentaire. Bypassing #EU #AgeVerification using their own infrastructure. I’ve ported the Android app logic to a Chrome extension – stripping out the pesky step of handing over biometric data which they can leak… and pass verification instantly. Step 1: Install the extension Step 2:… https://t.co/9zSony8Em4 pic.twitter.com/a5oQnf0n2Y — Paul Moore – Security Consultant  (@Paul_Reviews) April 16, 2026 Des données sensibles mises en danger Ce n’est pas tout. Le chercheur a aussi remarqué des images biométriques non protégées dans l’app de vérification d’âge européenne. Une fois qu’elle a déterminé que vous avez l’âge requis, l’application chiffre cette information de façon assez résiliente. De ce côté-là, tout fonctionne comme prévu. C’est en amont que des failles de sécurité manifestes ont été épinglées. Pour déterminer l’âge de l’utilisateur, l’application a besoin de scanner votre document d’identité et de collecter un selfie. Ces images sont censées être supprimées dès que la vérification de l’âge a été effectuée. Lorsque vous scannez votre passeport, l’application copie votre photo officielle et la stocke temporairement sur votre téléphone. Normalement, elle devrait l’effacer une fois toutes les vérifications terminées. Mais si quelque chose se passe mal en cours de route, si l’utilisateur revient en arrière, que le scan n’aboutit pas, ou que l’application plante, cette photo reste sur votre appareil indéfiniment, sans jamais être supprimée. En fait, la photo se trouve dans le cache, à la portée d’une éventuelle cyberattaque. Insensé, inutile et « fondamentalement défaillant » Pour les selfies, c’est encore plus préoccupant, indique le consultant. Ces photos ne sont pas stockées dans un cache temporaire, mais directement dans le stockage du smartphone. Elles ne sont jamais supprimées, même quand tout se passe bien. C’est « insensé et inutile » pour le chercheur. En théorie, les selfies se retrouvent à la portée des pirates qui seraient parvenus à pénétrer sur le smartphone. Cette application est le « catalyseur d’une fuite de données massive ». Comme le souligne Paul Moore, c’est potentiellement une infraction au Règlement général sur la protection des données (RGPD). Le concept de l’app « est fondamentalement défaillant », résume le chercheur. Gageons que la Commission européenne se penche sur les diverses vulnérabilités identifiées par Paul Moore et corrige le tir avant la sortie officielle de l’application. Celle-ci n’est en effet pas encore proposée sur les boutiques d’applications officielles, comme l’App Store ou le Play Store. Bien que techniquement prête, l’application est encore en phase de production. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Europefuite de donnéesvérificationvérification de l'âge Florian Bayard Sur le même sujet Cyberattaque contre la police nationale : les données de 17 000 policiers ont été piratées L’appli de « vérification de l’âge » de l’Europe est « prête, d’un point de vue technique », précise Bruxelles Vérification de l’âge des internautes : après Paris, Bruxelles va faire le point sur sa future application Fuite de données à l’Éducation nationale : une nouvelle cyberattaque a compromis les informations de millions d’élèves Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes 2026 Meilleur gestionnaire de mots de passe : le guide en avril 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités Prix record sur le Galaxy A56 : Samsung vide l’ultime stock avant le week-end (-50%) Vers une « fuite de données massive » : l’app de vérification de l’âge de l’Europe est criblée de failles Voici le nouveau visage de Google Chrome dont la France est toujours privée La Commission européenne va avoir un « cloud souverain », plusieurs acteurs français sur les rangs GoPro fait un -50% de folie sur sa Hero13 Black : une offre XL à saisir en urgence 🚨 Un robot s’est servi d’une friteuse : pourquoi c’est peut-être un tournant de l’IA Insta360 X5 : vidéos 360°, 8K, autonomie 185 minutes… son prix chute de quasi -40% Moteur magique, barres rabattables et géolocalisation antivol : le nouveau vélo cargo de Decathlon débarque et veut tout casser Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour