Un coup de crayon, et trois ans de travail législatif s’effondrent
Dans le rapport publié le 30 avril, une mère britannique raconte avoir surpris son fils de 12 ans en train de se dessiner une moustache au crayon à sourcils : l’ado tentait de passer le test d’estimation faciale d’une plateforme en ligne. Le système l’a identifié comme ayant 15 ans. Trois ans de navette parlementaire pour un filtre que l’on trompe avec du maquillage de collégien.
Les chiffres du sondage Internet Matters confirment que le cas n’a rien d’anecdotique. 46 % des enfants estiment que les contrôles sont faciles à contourner, et seuls 17 % les jugent difficiles. Un quart des parents reconnaissent avoir autorisé leur enfant à les contourner. 17 % avouent même l’y avoir aidé (on imagine le tutorat familial).
Dès juillet 2025, des internautes avaient trouvé une parade encore plus créative. Le mode photo de Death Stranding permet de manipuler le visage de Norman Reedus en temps réel. Cela suffisait à tromper la vérification faciale de Discord. Le prestataire K-ID demandait d’ouvrir et fermer la bouche pour prouver sa « vivacité ». Sam Porter Bridges s’en chargeait très bien, merci Hideo Kojima.
En France, le site Next avait mené sa propre expérience quelques semaines plus tard. Une fausse carte d’identité au nom de Dora l’Exploratrice passait les contrôles de plusieurs sites pour adultes. Six mois après, rebelote : Dora passait toujours.
L’Europe change de serrure, le Royaume-Uni change d’amende
Tous ces systèmes trompés reposent sur le même principe : l’estimation d’âge faciale. Une IA analyse un selfie ou une vidéo et tente de deviner l’âge de l’utilisateur. Des prestataires privés comme Yoti ou K-ID fournissent la technologie aux plateformes, qui l’intègrent comme elles peuvent.
L’application européenne annoncée le 15 avril par Ursula von der Leyen adopte une approche radicalement différente. Adossée au portefeuille d’identité numérique européen (eIDAS 2.0), elle ne scanne aucun visage. L’utilisateur s’identifie une seule fois via sa carte d’identité, son passeport ou un tiers de confiance. L’app génère ensuite une attestation cryptographique. La plateforme reçoit un « oui » ou « non », sans nom ni date de naissance.
Sept pays pilotes, dont la France, l’Espagne, l’Italie et le Danemark, doivent déployer le dispositif cet été. Le principe paraît plus solide qu’un selfie analysé par une IA. Le code source publié le jour de l’annonce a toutefois été contourné en moins de deux minutes par un chercheur en sécurité. La Commission a précisé qu’il s’agissait d’une implémentation de référence, pas d’un produit finalisé.
Depuis l’été 2025, l’Ofcom a infligé plus de 3 millions de livres d’amendes à des sites pour défaut de vérification. Les sanctions peuvent théoriquement grimper à 10 % du chiffre d’affaires mondial. Les amendes tombent, les enfants passent quand même.
Côté français, l’Arcom dispose des mêmes pouvoirs de blocage depuis 2024. Reste à savoir si l’attestation cryptographique européenne résistera mieux qu’un selfie aux idées de nos collégiens.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Internet Matters
