LEBIGDATA.FR I.A, Cloud & Cybersécurité
Cette semaine, la Commission européenne a officialisé son application de vérification d’âge destinée aux plateformes numériques. Le but est de permettre à un utilisateur de prouver qu’il est majeur sans dévoiler ses informations personnelles.
L’application a été développée avec plusieurs pays membres, dont la France. Selon Ursula von der Leyen, elle est « techniquement prête », d’où l’officialisation. Et pourtant, non, elle ne l’est pas.
Qu’est-ce qui cloche avec l’appli de vérification d’âge de l’UE ?
Si vous voulez tout savoir, le projet a été publié en open source sur GitHub. Les experts en cybersécurité ont donc pu examiner librement le code.
Le consultant en cybersécurité Paul Moore a ainsi plongé dedans. Et devinez quoi ? Il ne lui a fallu que quelques minutes pour mettre la main sur ce qu’il décrit comme un problème majeur de confidentialité.
Hacking the #EU #AgeVerification app in under 2 minutes.
— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all – that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ
Selon lui, moins de deux minutes suffisent pour compromettre l’application. Inutile de dire que ce n’est pas exactement rassurant pour un outil censé protéger des données sensibles.
Le souci principal tourne autour du code PIN créé par l’utilisateur. Celui-ci est bien chiffré, mais stocké dans un simple fichier de configuration. Une pratique jugée risquée.
Car en cybersécurité, ce type d’information ne devrait jamais être conservé sous cette forme. À la place, on utilise normalement un hash, une sorte d’empreinte mathématique impossible à inverser. Ce qui n’est pas le cas de cette appli de l’UE.
Résultat : un attaquant pourrait supprimer ce code PIN, en générer un nouveau, et accéder aux données d’identité sans rencontrer le moindre obstacle.
Les ennuis ne s’arrêtent pas là
Au fait, l’application doit scanner une pièce d’identité et prendre un selfie pour vérifier l’âge. Ces éléments sont censés disparaître aussitôt après utilisation. En théorie, du moins.
Dans les faits, certaines images restent stockées sur le téléphone. Si un bug survient, si l’utilisateur interrompt le processus ou si l’application plante, la photo du document officiel peut rester coincée dans le cache. Et ce dernier n’est pas aussi discret qu’on pourrait le croire.
Pire encore, les selfies suivent un traitement encore moins strict. Ils sont enregistrés directement dans le stockage du smartphone et ne sont tout simplement jamais supprimés, même lorsque tout fonctionne correctement.
Avec ces failles, les données sensibles deviennent vulnérables. Photos d’identité, selfies, informations personnelles… autant d’éléments qui pourraient être récupérés en cas d’intrusion sur le téléphone.
Un risque pour la sécurité des utilisateurs
Pour Paul Moore, c’est simple. L’application pourrait devenir le point de départ d’une fuite de données à grande échelle. Le problème dépasse même la simple sécurité technique.
Ces pratiques pourraient enfreindre le RGPD (Règlement Général sur la Protection des Données). Un cadre pourtant strict en matière de protection des informations personnelles en Europe. Quelle ironie !
Pire, le chercheur estime que le concept même de l’application pose problème. D’après lui, il serait mal pensé dès le départ. Une critique sévère, surtout pour un projet encore en phase de finalisation.
Encore heureux que pour l’instant, l’application n’est pas disponible sur des plateformes comme l’App Store ou le Play Store. Elle est toujours en cours de développement.
Ce délai pourrait bien être une chance. Car au vu des failles identifiées, une chose est sûre. Avant d’arriver dans nos téléphones, cette application a encore quelques sérieux réglages à faire.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
