Il faut 2 minutes pour pirater l’appli de vérification de l’âge de l’Union européenne
À peine 3 jours après son lancement, un expert en cybersécurité montre à quel point il est facile de passer outre les protections de l'application européenne censée permettre la vérification de l'âge sur Internet.
Une application qui “respecte les normes de confidentialité les plus élevées au monde“. Voilà comment nous est présenté l'application européenne pour la vérification de l'âge des ressortissants de l'Union. Alors que de plus en plus de pays, dont la France, veulent interdire l'accès à une partie d'internet si l'on a moins d'un certain âge, le système est présenté comme la solution ultime que n'importe qui pourra mettre en place facilement.
Souci de transparence oblige, le code de l'application est open source. Plusieurs développeurs et experts ne se sont pas fait prier pour l'examiner et le constat fait peur. Exemple avec Paul Moore, consultant en cybersécurité, n'a mis que 2 minutes pour pirater l'application. Il est passé outre 3 verrous de sécurité extrêmement facilement, repérant au passage que ces derniers n'ont pas été développés correctement.
L’appli de vérification de l’âge de l’Union européenne n'est pas sûre
D'abord, le code PIN créé à la configuration du programme est chiffré, mais pas lié au coffre qui conserve les données d’identité. Il suffit donc de changer deux valeurs dans le fichier stockant le code pour pourvoir définir un nouveau code. Ensuite, le même fichier permet de réinitialiser le compteur limitant les tentatives de saisie du PIN. Enfin, l'authentification biométrique est intégrée comme une valeur booléenne. C'est-à-dire qu'elle est soit “vraie”, soit “fausse”. Définissez-la comme “fausse” et elle est totalement ignorée par l'appli.
Hacking the #EU #AgeVerification app in under 2 minutes.
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all – that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
Mais ce n'est pas terminé. Il se trouve que les informations personnelles extraites des documents justificatifs ne sont pas chiffrées. Autrement dit, les photos, par exemple, sont stockées en clair. On imagine facilement le cauchemar que représenterait un vol des données contenues dans l'application. La Commission européenne n'a pas encore réagi à ces découvertes. Pour un service qui se veut le prototype du futur portefeuille numérique de l'UE, c'est un faux départ plus que malencontreux. Les développeurs ont intérêt à revoir leur copie en profondeur.
