Navigation
Les derniers articles
Suivez en direct

Vérification d’âge de l’UE : une faille critique découverte en deux minutes

Trois jeunes personnes prenant un selfie devant une carte de l'Europe pour illustrer les enjeux de la vérification d'âge de l'UE et la découverte d'une faille critique.
Déployée pour protéger les mineurs, l’application de vérification d’âge de l’UE présente des failles de sécurité majeures décelées dès sa publication en open source.

TL;DR : L’essentiel

  • Un consultant en sécurité a démontré qu’il était possible de détourner les identifiants d’un utilisateur en moins de deux minutes en manipulant simplement des fichiers de configuration stockés localement.
  • L’analyse du code open source révèle l’absence de protection contre le forçage des codes PIN et une méthode permettant de contourner l’authentification biométrique sur les appareils mobiles.
  • Malgré ces vulnérabilités critiques exposées par des experts indépendants, la Commission européenne maintient que l’outil est techniquement prêt tout en admettant qu’il s’agit encore d’une version de démonstration.

La présidente de la Commission européenne a présenté cette semaine une nouvelle application de vérification d’âge destinée à restreindre l’accès des mineurs aux réseaux sociaux et aux contenus sensibles. Pourtant, quelques heures après la mise en ligne du code source sur la plateforme GitHub, des experts en sécurité offensive ont révélé des failles architecturales alarmantes, selon les informations rapportées par Politico.

Des vulnérabilités structurelles compromises en un temps record

L’analyse technique effectuée par un consultant en sécurité montre que l’application stocke des données sensibles, comme le code PIN chiffré, dans un répertoire local nommé shared_prefs. En supprimant certaines valeurs de chiffrement dans ce fichier et en redémarrant l’outil, un attaquant disposant d’un accès physique au terminal peut réinitialiser le code d’accès et usurper l’identité numérique stockée, comme l’explique Cyber Security News.

D’autres chercheurs ont confirmé qu’il est possible de désactiver l’authentification biométrique par simple modification d’une valeur binaire ou de lever les limites de tentatives de connexion. Cette architecture repose sur des contrôles de sécurité dépendant de données locales facilement éditables, ce qui constitue une pratique déconseillée dans le développement mobile.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Un déploiement rapide face aux enjeux de souveraineté numérique

La rapidité de cette mise en service répond à une forte volonté politique portée par le président de la République française et le Premier ministre britannique. Comme le souligne Politico, cette initiative vise à imposer un standard européen basé sur la preuve à divulgation nulle de connaissance (Zero-knowledge proof), mais elle risque de compromettre durablement la confiance des citoyens envers les futurs portefeuilles d’identité numérique.

Un peu plus de 400 experts en cryptographie avaient déjà alerté sur les risques d’un déploiement trop rapide sans consensus scientifique sur la fiabilité de ces technologies. La découverte d’une telle vulnérabilité exploitable en moins de deux minutes souligne qu’une transparence de façade ne remplace jamais une architecture robuste, rappelant que l’urgence politique ne doit pas l’emporter sur la rigueur technique.

FAQ sur la vérification d’âge et la cybersécurité

Qu’est-ce que l’application de vérification d’âge de l’Union européenne ?

Il s’agit d’un outil numérique destiné à vérifier que les internautes ont l’âge requis pour accéder à des services comme les réseaux sociaux, les sites de jeux d’argent ou les contenus pour adultes. L’objectif est de protéger les mineurs tout en minimisant la collecte de données personnelles grâce à des méthodes cryptographiques.

Comment fonctionne la preuve à divulgation nulle de connaissance (Zero-knowledge proof) ?

Cette technologie permet à l’application de confirmer à une plateforme tierce qu’un utilisateur est majeur sans transmettre sa date de naissance exacte ou son identité. Le système envoie uniquement une réponse binaire (oui ou non), ce qui est considéré comme le « standard de référence » pour la protection de la vie privée.

Quelles sont les failles de sécurité découvertes dans l’application de l’UE ?

Des experts ont identifié que le code PIN et les paramètres d’authentification biométrique sont stockés localement dans des fichiers de configuration vulnérables. Un attaquant peut réinitialiser le code PIN ou désactiver la sécurité biométrique en modifiant ces fichiers, permettant ainsi d’usurper l’identité d’un utilisateur légitime en moins de deux minutes.

Pourquoi la publication du code source sur GitHub est-elle importante ?

La mise en ligne du code en « open source » permet à la communauté mondiale des chercheurs en cybersécurité d’auditer l’application. Dans ce cas précis, cette transparence a permis de détecter immédiatement des défauts de conception majeurs avant que l’outil ne soit massivement utilisé par le grand public.

L’utilisation de cette application de vérification d’âge est-elle obligatoire ?

La Commission européenne précise que l’application n’est pas obligatoire pour les plateformes technologiques. Cependant, elle constitue la solution privilégiée par Bruxelles. Les entreprises souhaitant utiliser d’autres méthodes de vérification devront prouver qu’elles offrent un niveau de protection et de confidentialité équivalent.

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.