Le code de l’application de l’UE a été révisé. Bilan : outils périmés et failles critiques pour vos données.
L’obstination bureaucratique de Bruxelles vient de franchir un nouveau seuil dans l’absurde. Alors que la présidente de la Commission européenne, Ursula von der Leyen, présentait, il y a quelques jours, son système de vérification d’âge comme le rempart ultime pour la protection des mineurs, la première mise à jour logicielle tourne à la farce technologique. Loin de corriger les béances identifiées lors du lancement, cette nouvelle version du code s’apparente à un aveu d’incompétence, laissant les informations les plus intimes des citoyens européens à la merci du premier hacker venu.
Un arsenal de sécurité sorti tout droit d’un musée
Le chercheur Paul Moore, déjà à l’origine des révélations sur la version initiale, a passé au crible le nouveau code source (v2026.04-2). Le constat est accablant : pour répondre aux critiques sur la faiblesse du chiffrement, les développeurs de l’UE ont introduit des bibliothèques logicielles officiellement abandonnées par leurs créateurs.
- L’usage de cadavres numériques : L’application intègre désormais androidx.security, une brique déclarée obsolète en 2025, et pire encore, les composants MasterKeys dont la fin de vie a été actée en 2020.
- Le paradoxe du développeur : Plus absurde encore, l’analyse révèle que le code contient déjà les bons outils : le développeur a correctement implémenté KeystoreController dans une partie du logiciel, mais a choisi d’ignorer cette solution moderne pour greffer les vieilles bibliothèques obsolètes à la place.
C’est l’équivalent numérique de poser un verrou blindé sur une porte dont on sait que la clé est déjà dupliquée partout sur le Web. Pour une infrastructure censée servir de socle à toutes les futures applications de l’identité numérique européenne, ce choix technique est une faute professionnelle lourde.
La détection de « root » : une barrière de papier en 2026
Pour empêcher les utilisateurs de modifier le comportement de l’application ou d’extraire des données sensibles, l’UE a implémenté un système de détection d’intégrité de l’appareil. Sur le papier, l’application refuse de se lancer si votre téléphone est débloqué (rooté ou jailbreaké).
En réalité, la méthode employée est digne d’un tutoriel de 2015. Le code cherche simplement la présence de fichiers nommés su dans quelques dossiers standards ou la présence de l’application Superuser.apk. Ces techniques de détection sont contournables en quelques minutes par n’importe quel adolescent motivé. Ce système, censé garantir que l’environnement est sain, est une pure mise en scène de sécurité qui ne trompe personne, sauf peut-être les régulateurs.
Vos documents d’identité dans un sas de vulnérabilité
Le processus de scan du passeport ou de la carte d’identité, au cœur de la loi adoptée en France le 26 janvier dernier, reste le point de friction le plus inquiétant. La mise à jour affirme que la photo du titre d’identité est stockée « de manière privée » et supprimée après usage.
Si la suppression semble désormais effective, le terme « privé » est un abus de langage. Les fichiers ne sont toujours pas chiffrés durant le processus de traitement. Entre le moment où le capteur NFC de votre smartphone lit la puce de votre passeport et le moment où l’application valide l’âge, la photo haute résolution réside en clair dans la mémoire de l’appareil. Dans un contexte où les malwares mobiles sont capables d’intercepter les caches de fichiers, livrer son identité régalienne à une application aussi mal conçue est une prise de risque inconsidérée.
Le code PIN : l’erreur de calcul de trop
La gestion du code secret de l’utilisateur subit elle aussi les foudres des experts. Pour protéger le PIN, l’application utilise l’algorithme PBKDF2-SHA256. Problème : le nombre d’itérations choisi (210 000) est totalement inadapté.
- Erreur de source : Ce chiffre correspond au minimum recommandé par l’OWASP pour l’algorithme SHA512, bien plus puissant, et non pour le SHA256 utilisé ici.
- Retard technique : En 2026, les standards de sécurité exigent au bas mot 600 000 itérations pour offrir une résistance minimale face à la puissance de calcul moderne.
- Inutilité structurelle : Avec seulement un million de combinaisons possibles pour un code PIN à 6 chiffres, même un milliard d’itérations ne protégerait pas efficacement contre une attaque par force brute si l’attaquant accède au fichier de configuration.
ANTS, WhatsApp : l’État français totalement dépassé
Ce naufrage technique européen entre en collision frontale avec l’actualité sécuritaire française avec un gouvernement incapable de protéger les bases de données qu’il gère déjà.
Le piratage massif de l’Agence Nationale des Titres Sécurisés (ANTS) est le symbole de cette démission. Ce ne sont pas moins de 11,7 millions de Français qui voient leurs informations sensibles (état civil, adresses, identifiants) circuler sur les réseaux criminels. Le plus révoltant reste le témoignage de l’expert Léo Gonzalez (via 01Net) : les failles utilisées par les pirates avaient été signalées à l’agence bien avant l’attaque. L’ANTS a sciemment ignoré ces alertes, laissant la porte ouverte aux usurpations d’identité.
Cette négligence atteint les sommets puisque la vague d’arnaques au « faux vote » sur WhatsApp a même piégé un ancien ministre. Le mécanisme est redoutable car il repose sur un message envoyé par un proche dont le compte est déjà compromis. Le pirate utilise la photo d’un enfant et demande de voter urgemment pour un prétendu concours scolaire ou artistique. En cliquant sur le lien pour aider ce contact, la victime arrive sur une page frauduleuse qui récupère ses codes ou lie son compte à un appareil contrôlé par l’attaquant. Si des profils si sensibles succombent à une simple manipulation d’ingénierie sociale basée sur l’émotion, comment l’État peut-il prétendre imposer une application de vérification d’âge à tous sans provoquer une catastrophe industrielle ?
