Le 15 avril 2026, la présidente de la Commission européenne Ursula von der Leyen, publiait un tweet triomphant : après des mois de bataille juridique et médiatique, une application européenne de vérification d’âge était enfin opérationnelle pour protéger les mineurs des contenus en ligne. Confidentialité maximale, open source, compatible tous appareils, facile à utiliser, ce nouveau projet semblait cocher toutes les cases, un exploit vu le contexte.
L’application, basée sur la technologie zero knowledge proof, est conçue pour s’inscrire dans le cadre du Digital Services Act. Son principe est séduisant sur le papier : l’utilisateur charge une fois son document d’identité, puis peut prouver qu’il est majeur sur n’importe quel site concerné, sans divulguer d’autres données personnelles. Sept États membres, dont la France, l’Espagne, l’Italie et le Danemark, sont déjà en phase de pilotage et prévoient d’intégrer l’outil à leurs portefeuilles d’identité numérique nationaux. Sur le papier, l’ambition est réelle : éviter la fragmentation réglementaire entre 27 systèmes incompatibles, créer un standard européen qui s’impose aussi bien aux plateformes de contenus pour adultes qu’aux réseaux sociaux, et surtout, mettre tout le monde d’accord sur la question de la souveraineté et de la protection des données.
Piraté en deux minutes
Le lendemain, Paul Moore, consultant britannique en sécurité informatique, poste une vidéo de démonstration sur X. En moins de deux minutes, sans outil spécialisé, sans ligne de code, il contourne intégralement l’authentification. La vidéo dépasse 2,6 millions de vues. La Commission européenne, elle, ne répond pas, mais c’est un sacré coup dur pour ce qui se présentait comme l’app « la plus sécurisée du monde ».
Selon le spécialiste, la faille provient de l’architecture même de l’application européenne. Lors de la configuration initiale, cette dernière demande à l’utilisateur de créer un code PIN. Ce PIN est chiffré, puis stocké localement dans un fichier de configuration. Le problème, c’est que ce chiffrement n’est à aucun moment lié au coffre-fort d’identité qui contient les données de vérification réelles. Les deux compartiments coexistent sans vérification croisée.
Concrètement, il suffit de supprimer deux valeurs dans ce fichier, de redémarrer l’application, et d’entrer un nouveau code PIN pour tout modifier. L’app accepte la manipulation sans broncher, et l’attaquant récupère un accès complet aux identifiants de vérification du compte d’origine, sous un nouveau PIN qu’il a lui-même défini.
Autres problèmes : le mécanisme de limitation des tentatives de saisie de code, censé bloquer une attaque par force brute, est lui aussi stocké dans ce même fichier, sous la forme d’un simple compteur. Le remettre à zéro ne demande qu’un clic. L’authentification biométrique, quant à elle, est contrôlée par une variable booléenne : passer la valeur UseBiometricAuth de true à false la désactive instantanément. Trois vulnérabilités, pour un « game over immédiat » estime l’expert en cybersécurité.
Une brique du portefeuille numérique européen sur des fondations instables
Ce qui rend la situation particulièrement gênante, c’est que cette application n’est pas un outil isolé. Elle est conçue comme un prototype pour le futur portefeuille d’identité numérique européen, dont le déploiement est prévu avant la fin 2026 dans l’ensemble des États membres. Les failles identifiées ici ne concernent donc pas seulement la vérification de l’âge, elles pointent vers les fondations d’une infrastructure européenne.
Une analyse de sécurité, publiée en mars 2026, avait déjà signalé un problème architecturel encore plus fondamental : le composant émetteur du système est incapable de confirmer que la vérification du passeport a bien eu lieu sur l’appareil de l’utilisateur. Les experts s’accordent désormais à dire que l’application nécessite une refonte architecturale complète, notamment dans la façon dont elle gère la liaison entre identité et authentification, le stockage sécurisé des données sensibles et la logique de contrôle d’accès.
La Commission européenne n’a, à ce jour, ni publié de correctif ni communiqué officiellement sur les vulnérabilités révélées. Ursula Von der Leyen avait quant à elle demandé aux pays membres d’adopter « rapidement » l’outil.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
