Alors que la vérification d’âge pour accéder aux réseaux sociaux entrera en vigueur en septembre prochain, l’Union européenne se ridiculise.
Introduction
Présentée en grande pompe le 15 avril dernier par la présidente de la Commission européenne, Ursula von der Leyen, l’application européenne de vérification d’âge n’a pas tenu plus de 120 secondes face à des hackers. C’est le chercheur en cybersécurité Paul Moore qui en fait la démonstration sur son compte X, pointant des erreurs d’amateur.
“Les normes de confidentialité les plus élevées au monde”
Vingt-quatre heures après le lever de rideau sur Age Verification (c’est son nom), les déclarations de la présidente de la Commission ont déjà mal vieilli. Alors qu’Ursula von der Leyen vantait le caractère open source d’une application qui « cochait toutes les cases » en offrant « les normes de confidentialité les plus élevées au monde », Paul Moore a déniché une faille critique permettant à des acteurs malveillants d’accéder à l’espace sécurisé de l’application en moins de deux minutes.
Le chercheur explique, preuve à l’appui, que la création d’un code PIN au premier démarrage de l’application n’est pas sécurisée. Le fichier où est inscrit le code est stocké dans le smartphone et peut être manipulé pour outrepasser l’authentification. Par conséquent, n’importe qui peut s’inviter dans l’espace « sécurisé » d’Age Verification et donc accéder aux données d’identité de la personne à qui appartient le smartphone. De fait, cette intrusion peut aussi servir à passer la vérification d’âge sur les sites où elle sera prochainement demandée.
Et si l’on préfère l’authentification biométrique (Face ID ou scan de l’empreinte) à un code PIN, alors ? Même constat. Une simple ligne de code, indiquant à l’application de ne pas vérifier la biométrie de l’utilisateur, permet de contourner le système.
Encore beaucoup de travail
Voilà donc l’application imaginée par les dirigeants européens pour « protéger les enfants sur Internet ». Une vérification d’âge à laquelle, il faut le rappeler, tous les internautes devront de fait se soumettre, les obligeant donc à potentiellement stocker des données sensibles dans une application tierce – fût-elle celle présentée par l’Union européenne.
Autant l’écrire : depuis que la vérification d’âge est devenue une idée fixe pour les gouvernements, rien ne se passe comme prévu. D’abord inaugurée au Royaume-Uni, elle a déjà conduit à des fuites de données massives, notamment du côté du réseau social Discord. En Australie, alors que les adolescents de moins de 16 ans n’ont plus le droit d’accéder à certains sites web et réseaux sociaux, ils se sont simplement dirigés vers des applications moins surveillées, mais également plus douteuses (ruinant, de fait, l’objet même de cette politique censée les protéger sur le Web). Et n’évoquons même pas ces systèmes de vérification d’âge facilement trompés par l’apparence d’un personnage de jeu vidéo.
Si le projet de la Commission européenne est noble (proposer une application souveraine, open source, servant de base aux projets de vérification de l’âge en Europe) et permet de s’éloigner des solutions américaines clé en main (comme le très controversé Persona, proche du géant de la cybersurveillance Palantir), il faut se rendre à l’évidence : en l’état, on se dirige surtout vers une catastrophe en matière de cybersécurité. « Cette appli est une blague », ponctue Paul Moore.
Journaliste
