L’application européenne de vérification d’âge hackée en moins de deux minutes

Hier, l’Union européenne a officialisé le lancement prochain de son application de vérification d’âge. Moins de 24 heures plus tard, une faille permettant de la contourner a déjà été trouvée sur la version test… De quoi s’interroger sérieusement sur la sécurité des utilisateurs.

L'app de vérification d'âge de l'UE est "prête"...

L’Union européenne vient d’annoncer que son application officielle de vérification d’âge est “techniquement prête” et “respecte les normes de confidentialité les plus élevées au monde”. Un consultant en sécurité a aussitôt mis cette affirmation à l’épreuve. Le résultat est embarrassant.

Paul Moore, expert en cybersécurité, n’a eu besoin que de quelques minutes pour identifier plusieurs failles critiques dans l’application. La première est spectaculaire dans sa simplicité : lors de la configuration, l’app invite l’utilisateur à créer un code PIN, qu’elle chiffre ensuite et stocke dans un fichier de préférences partagées. Il suffit de supprimer les valeurs correspondantes dans ce fichier et de redémarrer l’application pour en choisir un nouveau, tout en conservant l’accès aux identifiants du profil précédent. Un attaquant peut ainsi se présenter avec des un profil valide qui ne lui appartiennent pas.

Ce n’est pas tout. La limitation du nombre de tentatives de saisie repose sur un simple compteur incrémental stocké dans le même fichier de configuration, il suffit de le remettre à zéro pour continuer indéfiniment. L’authentification biométrique, elle, est contrôlée par un booléen qu’on peut basculer sur “false” pour l’ignorer complètement. Des protections dignes d’une application scolaire, pas d’un outil traitant des données d’identité nationale.

Sur le plan du RGPD, les problèmes sont tout aussi sérieux. Les images biométriques extraites des documents d’identité via NFC sont écrites sur le disque sans chiffrement applicatif. Pire, les selfies de vérification sont stockés de façon permanente dans le stockage externe, sans jamais être supprimés. Des données biométriques classées en catégorie spéciale au sens du règlement européen, conservées sans nécessité apparente.

L’ironie est cruelle : l’application chiffre correctement la donnée finale (“is_over_18: true”) en AES-GCM, mais laisse les photos sources traîner en clair sur l’appareil. Comme mettre son passeport dans un coffre-fort tout en abandonnant ses photocopies sur le bureau.

Cette affaire illustre un problème récurrent dans les projets numériques publics européens : l’ambition réglementaire d’un côté, l’exécution technique de l’autre. L’application est open source, ce qui a au moins permis à Moore de démontrer publiquement les lacunes, mais c’est précisément ce que l’UE présentait comme une garantie de confiance.


Hacking the #EU #AgeVerification app in under 2 minutes.

During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.

1. It shouldn't be encrypted at all - that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ

— Paul Moore - Security Consultant  (@Paul_Reviews) April 16, 2026

6 réactions

Zeego - iPhone premium

C'est à la fois désopilant et consternant...

16/04/2026 à 20h03

Foximus - iPhone

Je comprends maintenant pourquoi Apple s’oppose à unions européennes en matières de sécurité

16/04/2026 à 19h54

GuiJacq - iPhone premium

Heureusement que c’est une version test / bêta. Qu’ils corrigent les failles avant de sortir ça…!

16/04/2026 à 19h49

Mattjsks - iPhone

L’Europe nous fait vraiment passer pour des abrutis

16/04/2026 à 18h17

MaNnait - iPhone

La honte !!!

16/04/2026 à 17h37

911po - iPhone premium

Super l’Union européenne toujours au top 👌 🫪

16/04/2026 à 17h36

Donnez votre avis
Vous aimerez peut-être

Suivez-nous avec notre app iSoft
Articles populaires
Les derniers articles