L’application européenne de vérification d’âge hackée en moins de deux minutes
Alexandre Godard- Il y a 3 min
- 💬 Réagir
- 🔈 Écouter
Hier, l’Union européenne a officialisé le lancement prochain de son application de vérification d’âge. Moins de 24 heures plus tard, une faille permettant de la contourner a déjà été trouvée sur la version test… De quoi s’interroger sérieusement sur la sécurité des utilisateurs.
L'app de vérification d'âge de l'UE est "prête"...
L’Union européenne vient d’annoncer que son application officielle de vérification d’âge est “techniquement prête” et “respecte les normes de confidentialité les plus élevées au monde”. Un consultant en sécurité a aussitôt mis cette affirmation à l’épreuve. Le résultat est embarrassant.
Paul Moore, expert en cybersécurité, n’a eu besoin que de quelques minutes pour identifier plusieurs failles critiques dans l’application. La première est spectaculaire dans sa simplicité : lors de la configuration, l’app invite l’utilisateur à créer un code PIN, qu’elle chiffre ensuite et stocke dans un fichier de préférences partagées. Il suffit de supprimer les valeurs correspondantes dans ce fichier et de redémarrer l’application pour en choisir un nouveau, tout en conservant l’accès aux identifiants du profil précédent. Un attaquant peut ainsi se présenter avec des un profil valide qui ne lui appartiennent pas.
Ce n’est pas tout. La limitation du nombre de tentatives de saisie repose sur un simple compteur incrémental stocké dans le même fichier de configuration, il suffit de le remettre à zéro pour continuer indéfiniment. L’authentification biométrique, elle, est contrôlée par un booléen qu’on peut basculer sur “false” pour l’ignorer complètement. Des protections dignes d’une application scolaire, pas d’un outil traitant des données d’identité nationale.
Sur le plan du RGPD, les problèmes sont tout aussi sérieux. Les images biométriques extraites des documents d’identité via NFC sont écrites sur le disque sans chiffrement applicatif. Pire, les selfies de vérification sont stockés de façon permanente dans le stockage externe, sans jamais être supprimés. Des données biométriques classées en catégorie spéciale au sens du règlement européen, conservées sans nécessité apparente.
L’ironie est cruelle : l’application chiffre correctement la donnée finale (“is_over_18: true”) en AES-GCM, mais laisse les photos sources traîner en clair sur l’appareil. Comme mettre son passeport dans un coffre-fort tout en abandonnant ses photocopies sur le bureau.
Cette affaire illustre un problème récurrent dans les projets numériques publics européens : l’ambition réglementaire d’un côté, l’exécution technique de l’autre. L’application est open source, ce qui a au moins permis à Moore de démontrer publiquement les lacunes, mais c’est précisément ce que l’UE présentait comme une garantie de confiance.
Hacking the #EU #AgeVerification app in under 2 minutes.
— Paul Moore - Security Consultant (@Paul_Reviews) April 16, 2026
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all - that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ
Discord : la vérification de l'âge par carte d'identité repoussée à fin 2026 (màj)
La loi texane sur la vérification de l'âge par Apple est suspendue
Tim Cook à Washington pour défendre la position d’Apple sur la vérification d’âge
Pornhub pousse Apple à intégrer la vérification d'âge dans iOS
La vérification de l'âge sur Internet pose un gros problème
