Cette semaine, la Commission européenne a annoncé l’arrivée de son application de vérification de l’âge pour les plateformes en ligne. Comme l’a expliqué Ursula von der Leyen, la présidente de la Commission européenne, l’application est désormais « techniquement prête ». Développée en collaboration avec sept pays membres, dont la France, elle doit venir s’intégrer aux portefeuilles d’identité numérique nationaux déjà existants. Sur le papier, l’application permet à un internaute de prouver qu’il est majeur à une plateforme sans lui transmettre ses données personnelles.
« Les utilisateurs prouveront leur âge sans révéler aucune autre information personnelle. C’est complètement anonyme. L’utilisateur ne pourra pas être pisté », a déclaré Ursula von der Leyen, soulignant qu’il « reste maintenant à l’intégrer dans nos solutions en développement et à rendre obligatoire la vérification de l’âge via ces outils pour l’accès aux réseaux sociaux ».
Dans le sillage de l’annonce, Ursula von der Leyen a souligné que l’application était open source. Rapidement mis en ligne sur Github, le code de l’application peut être consulté par n’importe quel expert en sécurité informatique. La présidente de la Commission a d’ailleurs invité tous les chercheurs à se pencher sur celui-ci.
À lire aussi : Reddit passe aussi à la vérification d’identité en prenant bien garde de ne pas faire une Discord
Un « sérieux problème de vie privée »
C’est ce qu’a fait le consultant en cybersécurité Paul Moore. Sur son compte X, le chercheur indique avoir passé au crible tout le code source de l’application… et qu’il n’a « pas fallu longtemps pour trouver ce qui ressemble à un sérieux problème de vie privée ». L’expert explique avoir débusqué une faille qui lui a permis de pirater l’application « en moins de 2 minutes ».
.@vonderleyen “The European #AgeVerification app is technically ready. It respects the highest privacy standards in the world. It’s open-source, so anyone can check the code…”
I did. It didn’t take long to find what looks like a serious #privacy issue.
The app goes to great… pic.twitter.com/z8SYc3YBKJ
— Paul Moore – Security Consultant (@Paul_Reviews) April 15, 2026
Lors de la configuration de l’application, l’utilisateur crée un code PIN. Ce PIN est chiffré puis stocké dans un simple fichier de configuration, ce qui représente une grossière erreur de cybersécurité. Selon le consultant, le code PIN ne devrait pas être stocké tel quel. Seule l’empreinte mathématique de ce PIN, ce qu’on appelle un hash, devrait être stockée par l’application dans le fichier de configuration. Ce procédé évite que le code PIN tombe entre de mauvaises mains.
En l’état, l’application permet à un attaquant d’accéder aux données de l’utilisateur. Concrètement, un attaquant qui supprime le PIN du fichier de configuration peut simplement demander à l’app d’en créer un nouveau. L’app lui ouvre alors aussitôt l’accès aux données d’identité de la victime, sans aucune vérification supplémentaire.
Bypassing #EU #AgeVerification using their own infrastructure.
I’ve ported the Android app logic to a Chrome extension – stripping out the pesky step of handing over biometric data which they can leak… and pass verification instantly.
Step 1: Install the extension
Step 2:… https://t.co/9zSony8Em4 pic.twitter.com/a5oQnf0n2Y— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
Des données sensibles mises en danger
Ce n’est pas tout. Le chercheur a aussi remarqué des images biométriques non protégées dans l’app de vérification d’âge européenne. Une fois qu’elle a déterminé que vous avez l’âge requis, l’application chiffre cette information de façon assez résiliente. De ce côté-là, tout fonctionne comme prévu. C’est en amont que des failles de sécurité manifestes ont été épinglées.
Pour déterminer l’âge de l’utilisateur, l’application a besoin de scanner votre document d’identité et de collecter un selfie. Ces images sont censées être supprimées dès que la vérification de l’âge a été effectuée. Lorsque vous scannez votre passeport, l’application copie votre photo officielle et la stocke temporairement sur votre téléphone. Normalement, elle devrait l’effacer une fois toutes les vérifications terminées. Mais si quelque chose se passe mal en cours de route, si l’utilisateur revient en arrière, que le scan n’aboutit pas, ou que l’application plante, cette photo reste sur votre appareil indéfiniment, sans jamais être supprimée. En fait, la photo se trouve dans le cache, à la portée d’une éventuelle cyberattaque.
Insensé, inutile et « fondamentalement défaillant »
Pour les selfies, c’est encore plus préoccupant, indique le consultant. Ces photos ne sont pas stockées dans un cache temporaire, mais directement dans le stockage du smartphone. Elles ne sont jamais supprimées, même quand tout se passe bien. C’est « insensé et inutile » pour le chercheur. En théorie, les selfies se retrouvent à la portée des pirates qui seraient parvenus à pénétrer sur le smartphone. Cette application est le « catalyseur d’une fuite de données massive ». Comme le souligne Paul Moore, c’est potentiellement une infraction au Règlement général sur la protection des données (RGPD).
Le concept de l’app « est fondamentalement défaillant », résume le chercheur. Gageons que la Commission européenne se penche sur les diverses vulnérabilités identifiées par Paul Moore et corrige le tir avant la sortie officielle de l’application. Celle-ci n’est en effet pas encore proposée sur les boutiques d’applications officielles, comme l’App Store ou le Play Store. Bien que techniquement prête, l’application est encore en phase de production.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
