Retour vers l’ensemble des articles

Vérification d’âge européenne : contournée en quelques minutes par une extension Chrome

La Commission européenne voulait protéger les mineurs sur internet. Le résultat est une application de validation d’âge démolie par un chercheur en sécurité avec une simple extension Chrome. L’architecture est fondamentalement compromise. Et l’UE veut étendre ce système aux réseaux sociaux.


Une application présentée comme la solution

L’Union européenne teste actuellement un système de vérification d’âge. L’objectif : prouver qu’un internaute a plus de 18 ans sans révéler son identité. Développée par un consortium germano-suédois, selon Korben, l’application est en phase de test dans cinq pays dont la France. Elle cible pour l’instant les contenus adultes et les jeux d’argent.

Ce n’est pas un prototype anonyme parmi d’autres : c’est le modèle de référence de la Commission européenne. Ce détail comptera dans un instant.

Le principe affiché est séduisant. Pas de stockage de carte d’identité. Pas de base de données centralisée d’identités européennes. Une preuve d’âge anonymisée, transmise à un vérificateur. La vie privée préservée. La protection des mineurs assurée. Sur le papier.

Le 13 juillet, Ursula von der Leyen a annoncé vouloir réutiliser cette infrastructure pour bloquer l’accès des mineurs aux réseaux sociaux. Selon Korben, une loi est attendue après l’été, avec un âge minimum autour de 13 ans. « Les réseaux sociaux ne sont pas un jouet », justifie la présidente de la Commission.

Un chercheur démonte le système en quelques minutes

Paul Moore, chercheur en sécurité, a fabriqué une fausse preuve d’âge directement depuis une extension Chrome. Il l’a présentée au vérificateur officiel de la démo. Celui-ci l’a validée sans problème, selon Korben — qui présente d’ailleurs la démonstration comme une récidive : ce n’est pas la première fois que Moore met ce système en défaut.

Moore aurait codé son proof of concept (preuve de concept) avec une IA en quelques minutes. C’est lui-même qui l’a indiqué sur X, toujours selon Korben.

Les failles techniques identifiées sont multiples. La clé cryptographique utilisée est une simple clé logicielle P-256. Elle n’est pas protégée par le composant matériel sécurisé du téléphone. Il n’y a aucun scan de passeport ou de carte d’identité. Aucune reconnaissance faciale. Aucune attestation matérielle de type Play Integrity (le système de Google vérifiant qu’une application tourne sur un vrai appareil non modifié). Et la même preuve peut être rejouée plusieurs fois. Une preuve d’âge unique peut donc être utilisée à répétition.

Le problème est architectural, pas correctif

Moore est catégorique selon Korben : aucun patch ne peut corriger le problème. La raison est simple. La preuve d’âge reste entièrement sous le contrôle de l’application cliente. C’est à l’application installée sur le téléphone qu’on demande de ne pas tricher.

C’est structurellement impossible à sécuriser dans cette configuration. N’importe qui peut détourner l’application existante ou en forger une nouvelle. Le vérificateur n’a aucun moyen de distinguer une vraie preuve d’une fausse.

Le dépôt GitHub officiel du projet avertit lui-même qu’il s’agit d’une implémentation de référence. Pas un système prêt pour la production. Selon Korben, le code officiel prévient explicitement les développeurs de ne pas le déployer tel quel.

Reprenons la séquence, parce qu’elle vaut le détour : la Commission publie un modèle de référence, ce modèle porte un avertissement disant de ne pas le déployer en l’état, et la Commission envisage de bâtir dessus l’accès aux réseaux sociaux d’un continent.



Deux pistes de correction, deux problèmes différents

L’UE dispose de deux options pour corriger l’architecture, selon l’analyse de Moore rapportée par Korben.

Première piste : l’attestation matérielle. Utiliser un système comme Play Integrity de Google, qui vérifie que l’application tourne sur un vrai appareil certifié. Le problème : cette approche exclut mécaniquement les utilisateurs sous GrapheneOS (un Android durci axé vie privée), Linux et autres systèmes alternatifs. C’est la solution la plus robuste techniquement. C’est aussi la plus liberticide pour les artisans numériques qui refusent les écosystèmes fermés.

Cela dit, le dilemme n’est peut-être pas aussi binaire qu’il en a l’air : Korben renvoie lui-même, dans le corps de son article, vers une alternative open source à Play Integrity lancée par un consortium européen. À creuser — mais l’idée qu’attestation matérielle rime nécessairement avec verrou propriétaire mérite au moins d’être questionnée.

Deuxième piste : la cryptographie à divulgation nulle. Cette technique mathématique permet de prouver qu’on possède une information (l’âge) sans révéler cette information elle-même. La bonne nouvelle : cette fonctionnalité était déjà prévue dans les spécifications du système. La mauvaise : elle n’est tout simplement pas activée dans la version actuelle.

La solution techniquement élégante et respectueuse de la vie privée existait donc. Elle n’a pas été implémentée.


Le Royaume-Uni, un miroir utile

La situation britannique apporte un éclairage complémentaire. Depuis le 25 juillet 2025, en vertu de l’Online Safety Act, les sites pornographiques doivent mettre en place des vérifications d’âge au Royaume-Uni. Selon Next (ex-NextINpact), l’Ofcom (régulateur britannique du numérique) a publié un bilan d’étape le 15 juillet, portant sur les six premiers mois d’application des obligations de protection des mineurs et analysant les pratiques de 32 sites — pornographiques, réseaux sociaux et sites de rencontres.

Le résultat est instructif. Le régulateur a comptabilisé 2,2 millions d’utilisateurs quotidiens de VPN après l’entrée en vigueur des contrôles d’âge. Soit 1 million de plus qu’avant le 25 juillet 2025, une hausse de 83 % selon Next. L’Ofcom ne peut pas déterminer quelle part est directement liée au contournement des vérifications. Mais la corrélation est difficile à ignorer.

Et il faut lire ce chiffre correctement. Se vérifier en ligne suppose de fournir une pièce d’identité ou des coordonnées bancaires — ce que beaucoup d’internautes majeurs refusent tout simplement de faire. La ruée vers les VPN n’est donc pas seulement une histoire d’ados qui contournent. C’est aussi une population adulte qui décline la transaction proposée : votre identité contre l’accès.

Toujours selon Next, 25 % des Britanniques de 11 à 17 ans avaient utilisé un VPN au cours des six mois précédant l’enquête de mars. La ventilation est éclairante : 31 % chez les 16-17 ans, contre 16 % chez les 11-12 ans. Et 5 % des mineurs interrogés déclarent avoir utilisé un VPN pour accéder à du contenu adulte ou à des fonctions soumises à limite d’âge. Le régulateur note par ailleurs que 8 % des jeunes internautes de 8 à 14 ans ont visité un site porno sur un mois.

La leçon est claire. Une vérification d’âge mal conçue ne protège pas les mineurs déterminés. Elle complique la vie des adultes et alimente le marché des VPN.

La suite logique est déjà sur la table, et elle est savoureuse : parmi les propositions envisagées à Londres figure un âge minimum pour pouvoir utiliser un VPN. On régule le contournement de la régulation. Reste à savoir ce qu’on régulera quand ce contournement-là sera contourné.

Contrôle ou protection : la question de fond

Il y a quelque chose de profondément problématique dans cette séquence. L’UE déploie un système de vérification d’âge techniquement défaillant. Ce même système est envisagé pour restreindre l’accès aux réseaux sociaux. Et tout cela s’inscrit dans un contexte où Bruxelles pousse également Chat Control, une proposition visant à scanner les messages privés des citoyens européens.

Beaucoup de « contrôle » habillé en « protection », pour reprendre la formulation de Korben.

La cryptographie à divulgation nulle aurait pu offrir une vraie solution : prouver l’âge sans exposer l’identité, sans dépendre d’un écosystème propriétaire, sans exclure les utilisateurs de systèmes alternatifs. Elle était dans les specs. Elle n’a pas été branchée.

À la place, on a un système contournable en quelques minutes par une extension Chrome, qu’un chercheur a démonté avec une IA comme outil de développement.



Ce qu’il faut retenir

  • Paul Moore, chercheur en sécurité, a contourné le système européen de vérification d’âge avec une extension Chrome, validée sans problème par le vérificateur officiel (source : Korben)
  • La clé cryptographique P-256 est purement logicielle. Aucune protection matérielle, aucune attestation d’appareil, aucune reconnaissance faciale
  • La même preuve d’âge peut être rejouée plusieurs fois, selon Korben
  • Aucun patch n’est possible : c’est l’architecture qui est défaillante, selon Moore
  • Le dépôt GitHub du modèle de référence de la Commission avertit lui-même de ne pas le déployer en production
  • La cryptographie à divulgation nulle (solution respectueuse de la vie privée) était prévue dans les specs mais non implémentée
  • L’attestation matérielle (l’autre option) exclut GrapheneOS, Linux et les systèmes alternatifs — même si une alternative open source européenne à Play Integrity existe
  • Au Royaume-Uni, où la vérification d’âge s’applique depuis le 25 juillet 2025, l’usage quotidien des VPN a bondi de 83 % selon l’Ofcom, rapporté par Next
  • 25 % des 11-17 ans britanniques ont utilisé un VPN (31 % chez les 16-17 ans) ; 8 % des 8-14 ans ont tout de même visité un site porno sur un mois
  • Londres envisage désormais d’imposer un âge minimum pour utiliser un VPN
  • L’UE envisage d’étendre ce système défaillant aux réseaux sociaux, avec un âge minimum autour de 13 ans

Sources


Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Leave the field below empty!

Lowforehead

You cannot copy content of this page