Header WY-Créations
App de vérification d'âge Europe : des failles graves exposent vos données | WY-Créations®
Cybersécurité & Vie privée

App de vérification d'âge Europe : des failles graves risquent une fuite de données massive

⏱️ 10 min de lecture
🔐 Sécurité des données
Florence Salmon

Florence Salmon

Fondatrice WY-Créations® – Référenceuse senior SEO & développeuse – +500 sites livrés depuis 2018

★★★★★ +126 avis 5 étoiles
App vérification âge Europe failles sécurité données personnelles
L'application européenne de vérification d'âge, présentée comme « techniquement prête » par Ursula von der Leyen, présente des failles de sécurité majeures. Un consultant en cybersécurité, Paul Moore, a réussi à pirater l'application en moins de deux minutes. Le code PIN est stocké en clair dans un fichier de configuration, et les images biométriques (photo d'identité, selfies) ne sont jamais supprimées. Le chercheur parle d'un risque de « fuite de données massive » et qualifie le concept de « fondamentalement défaillant ». Analyse complète des vulnérabilités.

⚠️ Piratage démontré en direct

< 2 min

Temps nécessaire à Paul Moore pour contourner la sécurité de l'application

🇪🇺
7 pays
membres impliqués
Dont la France
🔓
PIN en clair
dans fichier config
Faille critique
📸
Selfies
jamais supprimés
Stockage permanent
⚖️
RGPD
violation possible
Risque juridique

L'annonce officielle de la Commission européenne

Cette semaine, la Commission européenne a annoncé l'arrivée de son application de vérification d'âge pour les plateformes en ligne. Ursula von der Leyen, présidente de la Commission, a déclaré que l'application est désormais « techniquement prête ». Développée en collaboration avec sept pays membres, dont la France, elle doit s'intégrer aux portefeuilles d'identité numérique nationaux déjà existants.

Sur le papier, l'application permet à un internaute de prouver qu'il est majeur à une plateforme sans lui transmettre ses données personnelles. « Les utilisateurs prouveront leur âge sans révéler aucune autre information personnelle. C'est complètement anonyme. L'utilisateur ne pourra pas être pisté », a souligné Ursula von der Leyen.

Open source : La présidente a rappelé que l'application est open source et que son code a été mis en ligne sur Github pour que les experts en sécurité puissent l'examiner. C'est précisément ce qu'a fait Paul Moore — avec des résultats inquiétants.

Cette annonce intervient dans un contexte où la vérification d'âge devient obligatoire pour accéder à ChatGPT en Europe et à d'autres services en ligne. L'enjeu est majeur : protéger les mineurs tout en respectant la vie privée des adultes.

Les failles découvertes par Paul Moore

Quelques jours après l'annonce officielle, Paul Moore, consultant en cybersécurité réputé, a passé le code au crible. Sur son compte X, il a indiqué qu'il n'a pas fallu longtemps pour trouver un « sérieux problème de vie privée ». Il a réussi à pirater l'application en moins de deux minutes.

🔴 Vulnérabilités identifiées

🔑
PIN non haché
Le code PIN est chiffré puis stocké dans un simple fichier de configuration, au lieu d'utiliser un hash sécurisé.
📝
Fichier config accessible
Un attaquant peut supprimer le PIN du fichier et en créer un nouveau pour accéder aux données sans vérification.
🪪
Photo d'identité en cache
La photo du document d'identité reste dans le cache du téléphone si le processus est interrompu.
🤳
Selfies jamais supprimés
Les selfies sont stockés dans le stockage permanent du smartphone et ne sont jamais effacés, même après vérification réussie.

Ces failles rappellent d'autres incidents récents où des données sensibles ont été exposées. La fuite massive de 403 millions de comptes en France a montré les conséquences catastrophiques d'un stockage non sécurisé des données personnelles.

Le problème critique du code PIN

Lors de la configuration de l'application, l'utilisateur crée un code PIN pour protéger l'accès à ses données d'identité. Ce PIN est censé garantir que seul l'utilisateur légitime peut utiliser l'application pour prouver son âge.

🔓 Comment l'attaque fonctionne

1
Accès au fichier de configuration

L'attaquant localise le fichier de configuration où le PIN chiffré est stocké.

2
Suppression du PIN

Il supprime simplement la ligne contenant le PIN chiffré.

3
Création d'un nouveau PIN

L'application lui demande de créer un nouveau PIN, comme s'il était un nouvel utilisateur.

4
Accès aux données

L'attaquant accède à toutes les données d'identité sans aucune vérification supplémentaire.

// Ce que fait l'application actuellement (DANGEREUX)
pin_chiffré = chiffrer(pin_utilisateur)
stocker_dans_fichier_config(pin_chiffré)

// Ce qui devrait être fait (SÉCURISÉ)
hash_pin = bcrypt(pin_utilisateur, salt)
stocker_hash_uniquement(hash_pin)

Paul Moore explique que seule l'empreinte mathématique du PIN (hash) devrait être conservée, jamais le PIN lui-même, même chiffré. Cette erreur de conception est d'autant plus surprenante que les bonnes pratiques de sécurité sont documentées depuis des décennies.

Images biométriques : stockage permanent non autorisé

Pour déterminer l'âge de l'utilisateur, l'application scanne un document d'identité et collecte un selfie pour vérifier que la personne devant l'écran est bien celle du document. Ces images sont censées être supprimées immédiatement après vérification. Ce n'est pas le cas.

Type de données Comportement actuel Comportement attendu
Photo du document d'identité Reste dans le cache si interruption Suppression immédiate en cas d'échec
Selfie de vérification Stocké en permanence, jamais supprimé Suppression après vérification réussie
Données extraites Accessibles sans vérification de PIN Chiffrées et protégées par hash

Risque majeur : En cas de vol ou de compromission du smartphone, un attaquant accède non seulement aux données d'identité mais aussi aux images biométriques. Ces données peuvent être utilisées pour de l'usurpation d'identité à grande échelle.

Cette situation rappelle les problèmes rencontrés par d'autres applications ayant exposé des données biométriques. La fuite de millions de fichiers privés via une application IA populaire a démontré que le stockage non sécurisé est un problème récurrent dans l'industrie.

L'avis de l'expert

🔐
Paul Moore
Consultant en cybersécurité
« C'est insensé et inutile. L'application est le catalyseur d'une fuite de données massive. Son concept est fondamentalement défaillant. Stocker le PIN chiffré au lieu d'un hash, conserver les selfies indéfiniment… Ces erreurs de base n'auraient jamais dû passer la revue de code. Cela pourrait constituer une infraction au RGPD. »

Paul Moore a publié ses découvertes sur X, invitant d'autres chercheurs à vérifier ses conclusions. Le code étant open source sur Github, plusieurs experts ont confirmé l'existence de ces vulnérabilités. La Commission européenne devrait se pencher sur ces problèmes avant toute sortie officielle.

Ces failles soulèvent des questions sur les processus de validation des applications gouvernementales. Alors que la conformité RGPD devient une exigence pour les plateformes d'IA, il est paradoxal qu'une application officielle de l'UE présente de telles lacunes.

Conséquences et implications

Les failles identifiées permettent à un attaquant d'accéder aux données d'identité en moins de deux minutes. Un simple effacement du PIN dans le fichier de configuration suffit. Les images biométriques restent sur le téléphone : la photo du passeport dans le cache et les selfies dans le stockage permanent.

Risques pour les utilisateurs

Ces données sensibles sont exposées en cas de compromission du smartphone. Cela inclut non seulement le vol physique de l'appareil, mais aussi les failles permettant de pirater un smartphone Android en 45 secondes. Les conséquences potentielles sont graves : usurpation d'identité, création de faux documents, accès frauduleux à des services.

Violation potentielle du RGPD

Le RGPD impose des obligations strictes sur le traitement des données personnelles, notamment le principe de minimisation (ne collecter que les données strictement nécessaires) et le droit à l'effacement. Une application qui conserve indéfiniment des selfies et des photos de documents d'identité semble en contradiction directe avec ces principes.

Point positif : L'application n'est pas encore déployée sur les boutiques d'applications. La Commission européenne a le temps de corriger ces vulnérabilités avant le lancement officiel. Le fait que le code soit open source a permis d'identifier ces problèmes avant un déploiement massif.

Cette situation rappelle l'importance d'audits de sécurité rigoureux avant tout déploiement, comme le soulignent les experts qui alertent régulièrement sur les nouvelles règles de cybersécurité préparées par la CNIL.

Comprendre la vérification d'âge

Comment fonctionne l'application ?

L'utilisateur scanne son document d'identité et fournit un selfie. L'application analyse ces données pour déterminer l'âge. Une fois la vérification effectuée, elle transmet uniquement la confirmation que l'utilisateur est majeur, sans révéler son identité complète. Lors de la configuration, un code PIN est créé pour protéger l'accès aux données.

Pourquoi c'est important en 2026 ?

La vérification d'âge devient obligatoire pour l'accès à certains services en ligne. Les réseaux sociaux sont particulièrement concernés, notamment après les révélations sur les nouvelles mesures de protection des adolescents sur Instagram. L'enjeu est de trouver un équilibre entre protection des mineurs et respect de la vie privée des adultes.

Les applications doivent protéger les données personnelles de manière stricte. Un stockage incorrect du PIN ou des images biométriques expose les utilisateurs à des fuites. Dans un écosystème où les identités numériques sont de plus en plus utilisées, ces vulnérabilités soulignent l'importance d'une implémentation sécurisée dès la phase de production.

⚠️ À retenir

  • L'application est annoncée « techniquement prête » par Ursula von der Leyen.
  • Le code PIN est stocké chiffré dans un fichier de configuration au lieu d'un hash.
  • Un attaquant peut supprimer le PIN et créer un nouveau pour accéder aux données.
  • La photo du document d'identité reste dans le cache si le processus est interrompu.
  • Les selfies sont stockés dans le stockage du smartphone et jamais supprimés.
  • Paul Moore parle d'un risque de « fuite de données massive ».
  • L'application pourrait constituer une infraction au RGPD.
  • L'application reste en phase de production et n'est pas encore sur les boutiques.

❓ Questions fréquentes

L'application de vérification d'âge est-elle déjà disponible ?

Non, elle est encore en phase de production et n'est pas disponible sur l'App Store ou le Play Store. Les failles ont été découvertes avant le déploiement officiel.

Qu'a déclaré Ursula von der Leyen sur l'application ?

Elle a indiqué que l'application est « techniquement prête », complètement anonyme et open source. Le code a été mis en ligne sur Github pour examen par les experts.

Quel est le problème identifié avec le code PIN ?

Le PIN chiffré est stocké dans un simple fichier de configuration au lieu d'un hash sécurisé. Un attaquant peut le supprimer et créer un nouveau PIN pour accéder aux données sans vérification.

Les images biométriques sont-elles supprimées après vérification ?

Non : la photo du document reste dans le cache en cas d'interruption du processus, et les selfies sont stockés en permanence dans le stockage du smartphone sans jamais être supprimés.

L'application respecte-t-elle le RGPD ?

Selon Paul Moore, les failles identifiées pourraient constituer une infraction au RGPD, notamment en ce qui concerne la conservation des données biométriques et le principe de minimisation.

Pourquoi l'application a-t-elle été rendue open source ?

Pour permettre aux chercheurs et experts en sécurité d'examiner le code et identifier d'éventuelles vulnérabilités. C'est précisément ce qui a permis à Paul Moore de découvrir les failles.

Quelle est la prochaine étape ?

La Commission européenne devrait corriger ces vulnérabilités avant la sortie officielle de l'application. Le délai de correction n'a pas été communiqué.

Une correction indispensable avant déploiement

L'application de vérification d'âge européenne a été présentée comme techniquement prête et anonyme. Pourtant, l'examen du code open source par Paul Moore révèle des failles graves dans le stockage du PIN et des images biométriques. Ces problèmes exposent les données personnelles et risquent de provoquer une fuite massive.

Recommandations avant tout déploiement : remplacer le stockage chiffré du PIN par un hash sécurisé (bcrypt ou Argon2), implémenter la suppression automatique et définitive de toutes les images biométriques après chaque vérification, et tester systématiquement les scénarios d'interruption.

En 2026, la cybersécurité des outils d'identité numérique doit être irréprochable dès la conception. Une application censée protéger les mineurs ne peut pas mettre en danger les données de tous les utilisateurs. Ces corrections restent indispensables avant tout déploiement obligatoire — d'autant plus que les plateformes d'IA commencent à vérifier l'âge de leurs utilisateurs.

Sources et références

  • Annonce officielle de la Commission européenne — Ursula von der Leyen
  • Analyse de sécurité par Paul Moore — Compte X et publications techniques
  • Code source de l'application — Github (open source)
  • Règlement Général sur la Protection des Données (RGPD) — UE

Besoin d'un site web sécurisé ?

WY-Créations développe des sites conformes aux standards de sécurité et au RGPD.

📩 Demander un devis gratuit