L'UE a validé l'application de vérification d'âge en dépit des réserves émises par les spécialistes, avant que des chercheurs en cybersécurité n'en percent les défenses en moins de deux minutes

L'UE a validé l'application de vérification d'âge en dépit des réserves émises par les spécialistes, avant que des chercheurs en cybersécurité n'en percent les défenses en moins de deux minutes

Un nouveau rapport relate comment l'application de vérification de l'âge de la Commission européenne a été compromise par des experts en cybersécurité en seulement deux minutes. Bien que la présidente Ursula von der Leyen ait affirmé que l'outil était prêt, le code source sur GitHub contenait des avertissements explicites sur son manque de fiabilité pour un usage réel. Les experts ont démontré des failles majeures, notamment la possibilité de contourner les codes PIN et l'identification biométrique via de simples modifications de fichiers. La Commission européenne a tenté de minimiser l'incident en qualifiant le logiciel de version de démonstration.

Le 15 avril 2026, la présidente de la Commission européenne, Ursula von der Leyen, a officiellement annoncée que l'outil de vérification d'âge de l'Union européenne était techniquement prêt et respectait les normes de confidentialité les plus strictes au monde. Cette application fait partie des mesures visant à assurer la sécurité des enfants en ligne. Le projet fait l'objet de nombreuses controverses, mais la Commission poursuit dans sa démarche.

« Les plateformes en ligne peuvent facilement s'appuyer sur notre application de vérification de l'âge, il n'y a donc plus d'excuses. L'Europe propose une solution gratuite et facile à utiliser qui peut protéger nos enfants contre les contenus préjudiciables et illégaux », a déclaré Ursula von der Leyen.

Mais cette affirmation a été immédiatement contredite par l'état réel du projet. Le dépôt GitHub de l'application, qui héberge son code source, contenait un avertissement explicite indiquant que le logiciel n'était qu'à un stade précoce de développement. Cet avis précisait que les protections de sécurité et de confidentialité étaient inférieures aux standards attendus pour un produit final et déconseillait fortement son déploiement en conditions réelles.

Un piratage réussi en un temps record

Dès le 16 avril, des chercheurs en sécurité ont réussi à contourner les protections de l'application en moins de deux minutes. Le consultant en sécurité Paul Moore a publié une démonstration montrant une faille majeure dans la conception de l'outil. En manipulant le fichier de configuration de l'application, il a pu supprimer les entrées chiffrées du code PIN pour en définir un nouveau tout en conservant l'accès aux identifiants déjà vérifiés.


Cette manipulation a mis en évidence des erreurs de conception fondamentales dans l'application, comme le stockage du compteur de tentatives de code PIN sous forme d'un simple nombre entier facilement réinitialisable, permettant ainsi des tentatives de devinette illimitées.

En outre, les experts ont découvert qu'une simple valeur booléenne dans le fichier de configuration permettait de désactiver totalement l'authentification biométrique. Cette vulnérabilité a été confirmée par le hacker éthique Baptiste Robert, qui a prouvé que le contournement était reproductible. Olivier Blazy, chercheur en cryptographie, a souligné qu'un mineur pourrait facilement utiliser le profil vérifié d'un adulte pour passer les contrôles d'âge.

Ces découvertes sont d'autant plus préoccupantes que l'application, financée à hauteur de 4 millions d'euros par la Commission européenne, devait utiliser la technologie de preuve à divulgation nulle de connaissance pour protéger la vie privée des utilisateurs. La Commission a tenté de minimiser l'incident en qualifiant le logiciel de version de démonstration, malgré des investissements de plusieurs millions d'euros et les avertissements d'experts.

Réactions de la Commission et critiques des experts

À la suite de la révélation des vulnérabilités critiques de l'application, la Commission a déclaré que les chercheurs avaient testé une « version de démonstration » publiée uniquement à des fins de développement et que la faille « avait été corrigée ». Le consultant en sécurité Paul Moore et le chercheur en cryptographie Olivier Blazy ont tous deux affirmé que leurs tests avaient été effectués sur la dernière version du code publiée sur GitHub.


Le porte-parole chargé du numérique, Thomas Regnier, est ensuite revenu sur la qualification de « version finale », déclarant : « quand nous disons qu’il s’agit d’une version finale, il s’agit en réalité d’une version de démonstration ». Olivier Blazy, membre d’un groupe de travail du gouvernement français sur l’identité numérique, a décrit un scénario dans lequel un mineur pourrait accéder au profil d’un adulte vérifié pour passer un contrôle d’âge.

« Un lancement aussi précipité pourrait nuire à la confiance dans les futurs portefeuilles d’identité numérique », a-t-il déclaré. Baptiste Robert, un hacker « white hat » français, a confirmé séparément à Politico que le contournement de l’authentification biométrique était reproductible.

Le fondateur de Telegram, Pavel Durov, a publié un message sur X (ex-Twitter), prédisant que Bruxelles utiliserait cette faille de sécurité pour supprimer les protections de la vie privée de l'application, qualifiant le résultat d'« outil de surveillance vendu comme respectueux de la vie privée ».

Conclusion

Cette application de vérification de l'âge a été développée dans le cadre d'un appel d'offres de la Commission d'un montant de 4 millions d'euros, attribué à la société suédoise d'identité numérique Scytales et à Deutsche Telekom. L'application utilise la technologie des preuves à divulgation nulle de connaissance (ZKP), qui permet aux plateformes de vérifier l'âge d'un utilisateur sans avoir accès à d'autres données personnelles.

Grosso modo, les responsables européens et australiens ont pour objectif d’instaurer une surveillance de masse similaire à celle qui a cours dans des pays comme la Chine. C’est ce que suggère l’existence de projets de lois comme Chat Control dont l’entrée en vigueur implique que :

• toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
• si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
• les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la "sollicitation d'enfants" signalent souvent à tort les conversations intimes ;
• des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
• lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;
• ce serait la porte ouverte pour les services de renseignement et les pirates sur les conversations et courriels.

Plus de 400 chercheurs spécialisés dans la cybersécurité et la protection de la vie privée avaient écrit à la Commission européenne en mars 2026 pour demander un moratoire sur le déploiement de cette application de vérification de l'âge, dans l'attente d'une évaluation indépendante de sa sécurité.

Sources : billet de blogue (1, 2, 3), lettre ouverte des spécialistes de la cybersécurité

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des vulnérabilités dont souffre l'application de vérification de l'âge de l'UE ?
Pensez-vous que ces vulnérabilités ont été délibérément intégrées dans l'objectif d’instaurer une surveillance de masse ?

Voir aussi

L'Union européenne a officiellement dévoilé une application conçue pour vérifier avec précision l'âge d'un utilisateur, mais ce projet fait l'objet de nombreuses critiques

L'interdiction des réseaux sociaux pour les enfants en Australie est, pour l'essentiel, inefficace, d'après une étude. La disponibilité d'outils comme les VPN complique l'application de cette mesure

L'application de vérification de l'âge de l'UE fait l'objet de critiques en raison de sa dépendance à Google, l'utilisation de l'API Play Integrity soulève un débat sur la souveraineté numérique de l'UE