L’UE dévoile son app de vérification de l’âge, mais les experts y découvrent déjà des failles de sécurité critiques.
La Commission européenne a présenté son application de vérification d’âge, censée protéger les mineurs, mais des chercheurs alertent sur des vulnérabilités majeures dans son code source.
Un lancement sous haute tension
La Commission européenne a officialisé l’aboutissement technique de son application de vérification de l’âge. Ursula von der Leyen, présidente de la Commission, a confirmé que l’outil est désormais « techniquement prêt ». Développée avec sept pays membres, dont la France, cette solution doit permettre aux internautes de prouver leur majorité sans transmettre d’identité complète. L’objectif affiché est de rendre cet outil obligatoire pour accéder aux réseaux sociaux.
Pour prouver la robustesse du système, Bruxelles a publié le code source sur la plateforme GitHub. Cette transparence a permis aux experts en cybersécurité d’analyser les entrailles du logiciel avant sa sortie officielle sur les stores.
Le code PIN piraté en moins de 120 secondes
L’alerte est venue de Paul Moore, consultant en cybersécurité, qui a examiné le code mis en ligne par l’exécutif européen. Ses conclusions sont sans appel : il affirme avoir réussi à pirater l’application en moins de 2 minutes. Le chercheur pointe ainsi une erreur de débutant dans la gestion du code PIN de l’utilisateur. Au lieu de stocker une empreinte mathématique (un hash), l’application enregistre le PIN chiffré dans un simple fichier de configuration.
Selon l’expert, un attaquant peut simplement supprimer ce fichier pour forcer la création d’un nouveau code. L’application donne alors un accès total aux données d’identité de la victime sans demander de vérification supplémentaire.
Vers une « fuite de données massive » : l'app de vérification de l’âge de l’Europe est criblée de failles https://t.co/OQs42xD0Q7
— Dr.Philippe Vynckier, CISSP – Influencer (@PVynckier) April 18, 2026
Des selfies et données biométriques en libre-service
Le problème s’étend également à la gestion des documents sensibles comme les passeports ou les selfies de vérification. Pour fonctionner, l’app doit scanner une pièce d’identité et prendre une photo du visage de l’utilisateur. D’après les analyses de Paul Moore, ces images ne sont pas correctement effacées du smartphone. En cas de bug ou d’annulation du scan, la copie du passeport reste stockée indéfiniment dans le cache de l’appareil.
Plus grave encore, le système ne place pas les selfies servant à la reconnaissance biométrique dans un dossier temporaire. Ils atterrissent directement dans le stockage permanent du téléphone, restant ainsi à la portée de n’importe quel malware.
Bruxelles réagit en urgence face aux critiques
Face à ces découvertes, le porte-parole de l’UE pour le Numérique, Thomas Regnier, a pris la parole ce vendredi. Il a confirmé que des actions immédiates ont été lancées pour corriger le tir. Une nouvelle version du code a été publiée sur GitHub pour boucher les failles détectées par les développeurs indépendants. L’UE justifie ces erreurs par la nature même du processus de développement en open source.
L’application n’est pas encore téléchargeable sur l’App Store ou le Google Play Store. Elle restera en phase de production tant que la sécurité n’est pas jugée optimale par les services de la Commission.
Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !
- Partager l'article :
