● Next INpact Télécom 📅 21/04/2026 à 10:38

L’app de vérification d’âge de la Commission européenne présente de « grosses lacunes »

Cybersécurité 👤 Mickael Bazoge
Illustration
L’app de vérification d’âge de la Commission européenne présente de « grosses lacunes » Des p'tits trous, des p'tits trous, toujours des p'tits trous Illustration : Flock Mickael Bazoge Le 21 avril à 10h38 Présentée comme « techniquement prête », l’app de vérification d’âge de la Commission européenne n’a pas tardé à soulever chez certains chercheurs des questions sur sa sécurité. Leurs découvertes sont pour le moins embarrassantes, même si le champ des attaques possibles est limité. Pour Olivier Blazy, contacté par Next, « les grosses lacunes ne mettent pas en danger directement les utilisateurs ». Une erreur ? L’application de vérification d’âge de l’Union européenne est « techniquement prête »… mais l’est-elle réellement ? Peu de temps après l’annonce d’Ursula von der Leyen du mercredi 15 avril, le chercheur en sécurité Paul Moore débusquait des vulnérabilités dans le code de l’app, disponible en open-source sur GitHub. Des trous dans les bonnes pratiques de sécurité Durant la configuration, l’application (testée sous Android) demande à l’utilisateur de créer un code PIN, ce qui jusque-là n’a rien d’anormal. Ce code est ensuite chiffré puis stocké dans un fichier local. Pour Paul Moore, ce code n’a aucune raison d’être chiffré car il n’est pas censé être récupérable : en cas de perte, il faut en créer un nouveau. L’app devrait normalement stocker une empreinte irréversible (hash). Autre gros défaut de cette application : le code PIN sert juste de verrou local, il n’est pas techniquement attaché aux données qu’il protège. Un attaquant ayant accès au smartphone peut aller dans le fichier de configuration, supprimer les valeurs liées au code, relancer l’app et créer un nouveau PIN. Cela lui permettra d’accéder à l’identité d’un autre utilisateur. Captures d’écran : Paul Moore Une démonstration confirmée dans une démo vidéo par Baptiste Robert, hacker éthique et patron de Predicta Lab. L’application intègre également une option permettant de désactiver l’authentification biométrique. En modifiant la valeur (de true à false), il est en effet possible de contourner complètement cette étape. Faut-il pour autant prendre ses jambes à son cou ? « L’attaque la plus crédible, c’est votre neveu qui prend votre smartphone, il ne connait pas le code PIN, mais il existe malgré tout un moyen pour qu’il puisse utiliser votre vérification », explique Olivier Blazy, professeur à l’École polytechnique ayant notamment travaillé avec la CNIL sur un démonstrateur de vérification de l’âge en ligne. Il tempère : « C’est un peu limité comme champ d’attaque. » Soutenez un journalisme indépendant, libre de ton, sans pub et sans reproche. Accédez en illimité aux articles Profitez d'un média expert et unique Intégrez la communauté et prenez part aux débats Partagez des articles premium à vos contacts Abonnez-vous La suite de cet article est réservée à nos abonnés Soutenez un journalisme indépendant, expert et sans pub. Abonnez-vous sur next.ink/subs Signaler un commentaire Voulez-vous vraiment signaler ce commentaire ? Non Oui
← Retour