Netcrook Logo
👤 SECPULSE
🗓️ 17 Apr 2026   🌍 Europe

Le rêve d'identité numérique de l’UE brisé : l’application de vérification d’âge piratée en moins de deux minutes

Une application européenne saluée, censée protéger les mineurs et garantir la vie privée, est truffée de failles de sécurité dévastatrices, exposant des millions de personnes au vol d’identité.

Elle devait être la référence en matière de protection de la vie privée et de sécurité des enfants en Europe - une application phare de vérification d’âge, vantée par les responsables et présentée comme un modèle de transparence et de confiance. Mais quelques jours seulement après que la Commission européenne l’a déclarée prête pour le grand public, un consultant en sécurité a révélé des failles fatales permettant à des attaquants de s’emparer de l’identité des utilisateurs en moins de temps qu’il n’en faut pour préparer un café.

La démonstration de la faille, réalisée par le consultant britannique Paul Moore, est aussi simple qu’alarmante. En inspectant le code open source de l’application et en fouillant dans le répertoire des préférences partagées de l’appareil - un espace de stockage courant pour les fichiers de configuration - Moore a découvert que le code PIN de l’utilisateur, censé protéger son identité numérique, est non seulement mal chiffré, mais aussi non lié au coffre-fort d’identité réel.

Cela signifie que tout attaquant ayant accès au système de fichiers de l’appareil peut simplement supprimer les valeurs chiffrées du PIN, redémarrer l’application et définir un nouveau code PIN. Ce faisant, il obtient un accès complet aux identifiants de l’utilisateur d’origine - lui permettant d’usurper son identité en toute impunité.

Mais les problèmes ne s’arrêtent pas là. Moore a identifié d’autres négligences catastrophiques. Les protections de l’application contre les attaques par force brute - censées bloquer les attaquants après plusieurs échecs - sont facilement neutralisées en réinitialisant un compteur dans le même fichier. Même l’authentification biométrique, présentée comme une garantie de confidentialité, peut être désactivée en changeant un seul mot de “true” à “false” dans la configuration.

Ces vulnérabilités contredisent les récentes déclarations de la présidente de la Commission européenne, Ursula von der Leyen, qui assurait au public que l’application représentait les plus hauts standards mondiaux de confidentialité et que sa nature open source la rendait intrinsèquement sûre. Les découvertes de Moore révèlent le contraire : un code ouvert n’est aussi fiable que l’architecture qui le sous-tend, et dans ce cas, la conception est fondamentalement défaillante.

Les experts en sécurité avertissent que lancer l’application dans son état actuel pourrait entraîner un vol d’identité généralisé et un désastre en termes d’image pour les ambitions numériques de l’UE. Stocker localement des données d’authentification critiques, sans liaison cryptographique à l’identité de l’utilisateur, est un anti-modèle de sécurité bien connu - qui expose les utilisateurs à des attaques même de la part d’adversaires peu expérimentés.

L’application de vérification d’âge de l’UE devait inaugurer une nouvelle ère de confiance et de confidentialité numériques. Elle se présente désormais comme un avertissement : en cybersécurité, les bonnes intentions et la transparence ne remplacent pas une architecture rigoureuse et un examen constant.

WIKICROOK

  • Préférences partagées : Les préférences partagées sont une méthode de stockage local sur les appareils mobiles pour enregistrer les paramètres d’application et les préférences utilisateur sous forme de paires clé-valeur.
  • PIN (Numéro d’identification personnel) : Un PIN est un court code numérique utilisé comme mesure de sécurité pour vérifier l’identité, souvent requis pour accéder à des cartes bancaires, appareils ou comptes en ligne.
  • Liaison cryptographique : La liaison cryptographique associe des métadonnées à des données chiffrées, garantissant que les deux sont protégés contre la falsification et les modifications non autorisées dans les applications de cybersécurité.
  • Brute : Une attaque par force brute est une méthode de piratage automatisée où les attaquants essaient de nombreux mots de passe ou clés jusqu’à trouver le bon pour obtenir un accès non autorisé.
  • Authentification biométrique : L’authentification biométrique vérifie l’identité à l’aide de caractéristiques physiques uniques comme les empreintes digitales ou la reconnaissance faciale, offrant un accès sécurisé et pratique aux appareils et comptes.
Digital ID Age Verification Security Flaws
SECPULSE SECPULSE
SOC Detection Lead
← Back to news