TL;DR : L’essentiel
- Un consultant en sécurité a démontré qu’il était possible de détourner les identifiants d’un utilisateur en moins de deux minutes en manipulant simplement des fichiers de configuration stockés localement.
- L’analyse du code open source révèle l’absence de protection contre le forçage des codes PIN et une méthode permettant de contourner l’authentification biométrique sur les appareils mobiles.
- Malgré ces vulnérabilités critiques exposées par des experts indépendants, la Commission européenne maintient que l’outil est techniquement prêt tout en admettant qu’il s’agit encore d’une version de démonstration.
La présidente de la Commission européenne a présenté cette semaine une nouvelle application de vérification d’âge destinée à restreindre l’accès des mineurs aux réseaux sociaux et aux contenus sensibles. Pourtant, quelques heures après la mise en ligne du code source sur la plateforme GitHub, des experts en sécurité offensive ont révélé des failles architecturales alarmantes, selon les informations rapportées par Politico.
Des vulnérabilités structurelles compromises en un temps record
L’analyse technique effectuée par un consultant en sécurité montre que l’application stocke des données sensibles, comme le code PIN chiffré, dans un répertoire local nommé shared_prefs. En supprimant certaines valeurs de chiffrement dans ce fichier et en redémarrant l’outil, un attaquant disposant d’un accès physique au terminal peut réinitialiser le code d’accès et usurper l’identité numérique stockée, comme l’explique Cyber Security News.
D’autres chercheurs ont confirmé qu’il est possible de désactiver l’authentification biométrique par simple modification d’une valeur binaire ou de lever les limites de tentatives de connexion. Cette architecture repose sur des contrôles de sécurité dépendant de données locales facilement éditables, ce qui constitue une pratique déconseillée dans le développement mobile.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Un déploiement rapide face aux enjeux de souveraineté numérique
La rapidité de cette mise en service répond à une forte volonté politique portée par le président de la République française et le Premier ministre britannique. Comme le souligne Politico, cette initiative vise à imposer un standard européen basé sur la preuve à divulgation nulle de connaissance (Zero-knowledge proof), mais elle risque de compromettre durablement la confiance des citoyens envers les futurs portefeuilles d’identité numérique.
Un peu plus de 400 experts en cryptographie avaient déjà alerté sur les risques d’un déploiement trop rapide sans consensus scientifique sur la fiabilité de ces technologies. La découverte d’une telle vulnérabilité exploitable en moins de deux minutes souligne qu’une transparence de façade ne remplace jamais une architecture robuste, rappelant que l’urgence politique ne doit pas l’emporter sur la rigueur technique.
FAQ sur la vérification d’âge et la cybersécurité
Qu’est-ce que l’application de vérification d’âge de l’Union européenne ?
Il s’agit d’un outil numérique destiné à vérifier que les internautes ont l’âge requis pour accéder à des services comme les réseaux sociaux, les sites de jeux d’argent ou les contenus pour adultes. L’objectif est de protéger les mineurs tout en minimisant la collecte de données personnelles grâce à des méthodes cryptographiques.
Comment fonctionne la preuve à divulgation nulle de connaissance (Zero-knowledge proof) ?
Cette technologie permet à l’application de confirmer à une plateforme tierce qu’un utilisateur est majeur sans transmettre sa date de naissance exacte ou son identité. Le système envoie uniquement une réponse binaire (oui ou non), ce qui est considéré comme le « standard de référence » pour la protection de la vie privée.
Quelles sont les failles de sécurité découvertes dans l’application de l’UE ?
Des experts ont identifié que le code PIN et les paramètres d’authentification biométrique sont stockés localement dans des fichiers de configuration vulnérables. Un attaquant peut réinitialiser le code PIN ou désactiver la sécurité biométrique en modifiant ces fichiers, permettant ainsi d’usurper l’identité d’un utilisateur légitime en moins de deux minutes.
Pourquoi la publication du code source sur GitHub est-elle importante ?
La mise en ligne du code en « open source » permet à la communauté mondiale des chercheurs en cybersécurité d’auditer l’application. Dans ce cas précis, cette transparence a permis de détecter immédiatement des défauts de conception majeurs avant que l’outil ne soit massivement utilisé par le grand public.
L’utilisation de cette application de vérification d’âge est-elle obligatoire ?
La Commission européenne précise que l’application n’est pas obligatoire pour les plateformes technologiques. Cependant, elle constitue la solution privilégiée par Bruxelles. Les entreprises souhaitant utiliser d’autres méthodes de vérification devront prouver qu’elles offrent un niveau de protection et de confidentialité équivalent.
Pour approfondir le sujet
Actualités liées
Les pays de l'UE restent sceptiques face à l'application de vérification d'âge de Bruxelles.
L’application européenne permettant de vérifier l’âge des internautes se heurte à la résistance des gouvernements nationaux, selon un sondage réalisé par POLITICO. Lire la suite
L'UE approuve une application de vérification de l'âge pour assurer la sécurité des enfants en ligne.
« Les plateformes en ligne peuvent compter sur notre application », déclare le commissaire, « il n'y a plus d'excuses ». Lire la suite
La Commission se félicite de l'accord du G7 sur des principes communs pour la protection des mineurs en ligne.
La Commission salue l'accord conclu aujourd'hui par les ministres du numérique et des technologies du G7 sur un ensemble de principes communs pour un espace numérique plus sûr et plus sécurisé pour les mineurs. Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
