L’application de vérification d’âge de l’UE présente des failles critiques : stockage de données en clair et contournement du code PIN.
Le déploiement de l’infrastructure technique de vérification d’âge, annoncé en grande pompe par Ursula von der Leyen, se confronte déjà à la réalité du terrain. Ce dispositif, censé garantir l’anonymat grâce à des preuves à divulgation nulle de connaissance, est au cœur d’une polémique technique. En France, cette accélération intervient dans un climat de défiance numérique absolue. L’État français, pourtant moteur de cette initiative, fait face à une impuissance chronique pour sécuriser ses propres bases de données. Entre le piratage massif d’ÉduConnect touchant 3,5 millions d’élèves et la fuite des données de 2,7 millions d’étudiants sur le service Alumni, la capacité des autorités à protéger l’identité numérique des citoyens reste une question ouverte.
Des données biométriques laissées à l’abandon sur le disque
L’analyse du code source de l’application Android (basée sur le SDK du futur Wallet européen) révèle des pratiques de gestion de fichiers contraires aux standards de sécurité actuels. Si le résultat final de la vérification est chiffré, les données sources, elles, sont vulnérables.
L’examen des fichiers PassportLiveVideoViewModel.kt et CameraActivity.kt confirme que lors du scan NFC d’un passeport ou de la capture d’un selfie, l’application génère des fichiers PNG sans perte. Le problème réside dans la persistance de ces fichiers :
- Données NFC : L’image biométrique extraite du document d’identité est écrite sur le disque. Elle n’est supprimée qu’en cas de succès total du processus. Si l’utilisateur revient en arrière, si l’application crash ou si le scan échoue, la photo haute résolution du titre d’identité reste stockée dans le cache sans chiffrement applicatif.
- Selfies de contrôle : Le scénario est plus critique pour les photos de visage. Ces fichiers sont écrits dans un stockage persistant et, selon les segments de code analysés, ne font l’objet d’aucune procédure de suppression systématique. Ils restent donc sur l’appareil pour une durée indéterminée.
D’un point de vue réglementaire, ces données biométriques entrent dans la catégorie des données sensibles. Laisser ces éléments sur le stockage local sans protection ni base légale de conservation constitue un manquement flagrant au principe de minimisation des données.
Un contournement de la sécurité en moins de deux minutes
Au-delà de la rétention de données, la structure même de l’application est perméable aux attaques locales. Des experts en cybersécurité ont démontré qu’il est possible de compromettre l’accès à l’outil avec une simplicité déconcertante.
Le système de protection par code PIN repose sur des valeurs stockées dans le dossier shared_prefs. En supprimant simplement les entrées PinEnc et PinIV de ce fichier, un attaquant peut réinitialiser le PIN et accéder aux informations d’identité déjà enregistrées. De plus, les mécanismes de sécurité basiques sont facilement désactivables : la vérification biométrique peut être court-circuitée en basculant un simple booléen à « false » dans le fichier de configuration, et les limites de tentatives (rate limiting) se réinitialisent en modifiant un compteur numérique.
Une brique logicielle loin d’être fonctionnelle
Contrairement aux affirmations politiques présentant un outil « prêt à l’emploi », l’examen des dépôts GitHub montre qu’il ne s’agit pour l’instant que d’une « boîte à outils ». Ce composant logiciel nécessite encore un développement conséquent par chaque État membre pour devenir une application fonctionnelle intégrée aux services nationaux.
L’absence d’interopérabilité est également pointée du doigt. L’implémentation actuelle utilise une version de Google (Longfellow) qui ne respecte pas les drafts des standards IETF, rendant la communication avec d’autres systèmes d’identité nationaux techniquement complexe. Ce manque de rigueur technique transforme ce qui devait être un outil de protection en une cible privilégiée pour la cybercriminalité.
Une infrastructure falsifiable par une simple extension de navigateur
La débâcle ne s’arrête pas au stockage local des données. Le chercheur en cybersécurité Paul Moore vient de démontrer qu’il est possible de saturer le système en utilisant sa propre infrastructure contre lui. En portant la logique de l’application Android sur une extension Chrome, l’expert a réussi à automatiser la validation de la majorité sans jamais transmettre de données biométriques.
L’extension détecte le QR code de vérification, génère une charge utile cryptographique identique à celle de l’application officielle et confirme l’âge requis au vérificateur, qui accepte l’information sans sourciller. Cette faille n’est pas un bug corrigeable par un simple correctif, mais un défaut de conception structurel : le système est incapable de distinguer une authentification légitime d’une simulation logicielle. Pour colmater cette brèche, les autorités devraient lier une clé cryptographique de manière irrévocable à l’identité physique de l’utilisateur, transformant alors cet outil de protection en un instrument de traçage et de surveillance individualisée.
Entre impuissance sécuritaire et dérive du tutorat étatique
L’obstination de Bruxelles et de l’exécutif français à imposer ce dispositif révèle une déconnexion profonde avec les impératifs de sécurité nationale. Alors que la France détient depuis janvier 2025 le triste record du pays le plus ciblé par les cyberattaques, les autorités semblent privilégier une surveillance systématique des citoyens plutôt qu’une défense proactive des infrastructures critiques. Ce paradoxe est d’autant plus flagrant que l’outil livré aujourd’hui souffre de lacunes techniques indignes d’un déploiement à cette échelle.
En proposant une application à la conception aussi précaire, l’État s’expose à un échec massif : les internautes, y compris les plus jeunes, migrent déjà vers des alternatives décentralisées et des protocoles de contournement pour préserver leur droit à l’anonymat. Finalement, ce déploiement forcé, dont les seuls bénéficiaires semblent être les prestataires privés ayant remporté les contrats de développement, risque de sombrer dans l’obsolescence technique avant même d’avoir atteint son objectif de contrôle.
Bypassing #EU #AgeVerification using their own infrastructure.
I've ported the Android app logic to a Chrome extension – stripping out the pesky step of handing over biometric data which they can leak… and pass verification instantly.
Step 1: Install the extension
Step 2:… https://t.co/9zSony8Em4 pic.twitter.com/a5oQnf0n2Y— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
