Le 15 avril, la Commission européenne a annoncé que son application de vérification de l’âge était « techniquement prête ». Une semaine plus tard, l’application fait déjà face à ses premiers obstacles en matière de confidentialité et de sécurité — mais le problème pourrait dépasser le simple cadre d’un bug dans le système.
La présidente Ursula von der Leyen affirme qu’il n’y a « plus d’excuses » pour retarder la vérification d’âge obligatoire. S’appuyant sur le modèle de l’application du certificat COVID, la Commission a élaboré un cadre que les États membres de l’UE sont désormais invités à utiliser pour leurs propres applications nationales.
L’application est conçue pour être simple d’utilisation sur tous les appareils tout en respectant des normes élevées de protection de la vie privée. En théorie, elle doit permettre aux citoyens de prouver leur âge pour accéder à des contenus restreints sans compromettre leurs données personnelles les plus sensibles.
« C’est totalement anonyme : les utilisateurs ne peuvent pas être suivis », a déclaré von der Leyen, ajoutant que « les utilisateurs prouveront leur âge sans révéler aucune autre information personnelle ».
Sur le papier, il s’agit d’une amélioration bienvenue par rapport aux méthodes actuelles de vérification d’âge, qui exigent souvent la numérisation de pièces d’identité ou de données biométriques dans des bases de données tierces.
Ces systèmes ont déjà démontré leur vulnérabilité ; par exemple, une fuite impliquant un service tiers de Discord a exposé les données de plus de 70 000 utilisateurs.
L’application a reçu certains éloges. Alex Laurie, directeur technique de l’entreprise de gestion d’identité Ping Identity, estime qu’elle représente « une étape vers la concrétisation de l’identité décentralisée ».
D’autres restent toutefois sceptiques, et plusieurs experts en sécurité suggèrent que le problème ne se limite pas à un bug ou à une faille, mais relève d’une difficulté fondamentale liée à l’approche elle-même.
Des failles découvertes en « deux minutes »
L’un des principaux atouts de l’application réside dans son cadre open source, qui permet à toute personne disposant des compétences techniques nécessaires d’examiner le code source à la recherche de vulnérabilités.
Le consultant en sécurité Paul Moore a fait exactement cela après l’annonce de la Commission, affirmant avoir identifié une faille critique en moins de deux minutes. Il a notamment constaté que l’application stockait des données sensibles — y compris des données biométriques et des photos — sans chiffrement sur l’appareil.
La Commission européenne a affirmé avoir corrigé cette vulnérabilité dans une nouvelle version publiée le 17 avril, selon Politico. Toutefois, Moore a procédé à un nouveau test de la version mise à jour et a estimé qu’elle pouvait être contournée facilement.
Son verdict ? L’application resterait fondamentalement défaillante. « Ils ont essayé de résoudre un problème qu’ils ne comprennent pas vraiment… tout comme le concept lui-même », a écrit Moore.
Contacté par TechRadar, le porte-parole de la Commission européenne, Thomas Regnier, a indiqué que la Commission était « très ouverte aux retours », ajoutant qu’« elle est bien sûr prête à améliorer ce qui peut l’être ».
Bypassing the #EU #ageVerification app - part 2.This time, it's v2026.04-2 - which won't run on rooted devices & has encrypted shared preferences.If we ignore the fact they've used a 6 year old deprecated library, they haven't actually solved the problem at all. An attacker… https://t.co/7PHMkeoBaT pic.twitter.com/b7H5TBBvCrApril 23, 2026
Selon Laurie, de Ping Identity, les conclusions de Moore mettent en évidence un « risque classique de pot de miel », même lorsque les données sont stockées localement sur un seul appareil. D’après cet expert en identité numérique, le principe de minimisation des données prévu par le RGPD ne souffre aucune exception.
« Si une application ne supprime pas les scans haute résolution de passeports ou les selfies après un plantage ou une annulation, elle crée une accumulation toxique de risques non maîtrisés pour l’utilisateur », a-t-il déclaré à TechRadar.
Laurie considère néanmoins qu’un système d’identité décentralisée correctement mis en œuvre pourrait constituer une avancée majeure, précisément parce qu’il permettrait aux utilisateurs de prouver leur âge sans céder l’intégralité de leur identité numérique à un site tiers.
Moore se montre moins optimiste. Tout en reconnaissant que la Commission cherche à renforcer la sécurité de l’application, il estime que le problème principal ne réside pas dans l’application elle-même, mais dans le cadre sous-jacent.
« Le concept ne fonctionne tout simplement pas, même si la mise en œuvre était parfaite », a-t-il déclaré à TechRadar.
L’approche de l’UE pourrait ne jamais fonctionner
La plupart des experts en sécurité s’accordent sur un point essentiel : les efforts de l’UE en matière de vérification d’âge pourraient échouer tout simplement parce que le système reste facile à contourner.
Rejoignant l’analyse de Moore, Bart Preneel — cryptographe belge et professeur à la KU Leuven — met en garde contre une focalisation exclusive sur les aspects techniques. Selon lui, les objections à l’initiative européenne sont « bien plus fondamentales qu’un bug dans une application ».
« Les défauts techniques peuvent être corrigés, ce qui peut donner l’impression que le problème est réglé. Mais le véritable problème, c’est que l’on déploie une technologie qui ne fonctionnera pas », a-t-il déclaré à TechRadar.
Preneel comme Moore soulignent que les réseaux privés virtuels (VPN) et d’autres outils de protection de la vie privée pourraient facilement compromettre la mise en place des mesures de vérification d’âge.
Les utilisateurs pourraient également créer des applications modifiées ou frauduleuses — comme cela avait été observé avec les faux certificats COVID — mais l’inquiétude plus large est qu’une vérification stricte pousse les plus jeunes vers des plateformes obscures et moins régulées, souvent encore moins sûres.
Des problèmes structurels
Fait notable, la sécurité technique de l’application ne constitue pas la principale préoccupation des experts interrogés. Ce sont plutôt les fondements mêmes du concept que des spécialistes en cybersécurité, des data scientists et des cryptographes considèrent comme profondément défaillants.
Preneel se dit particulièrement préoccupé par les « dommages collatéraux » que l’application pourrait provoquer, notamment l’exclusion numérique de personnes dépourvues de documents officiels, comme les réfugiés ou les migrants.
Malgré les assurances de la Commission, Preneel avertit que le système pourrait conduire à la fin de l’anonymat en ligne et permettre potentiellement aux gouvernements « de démasquer des personnes qui les critiquent anonymement ».
Une inquiétude partagée par le PDG de Proton, Andy Yen, qui a récemment critiqué l’élan mondial en faveur de la vérification d’âge, qu’il considère comme une menace pour les droits numériques fondamentaux.
Le véritable problème est bien plus profond qu'un simple bug dans une application
Bart Preenel, Cryptographe
En définitive, Preneel — qui figure parmi plus de 400 scientifiques appelant à suspendre les mesures de vérification d’âge — estime que le problème est structurel. Présentées comme un moyen de protéger les mineurs, ces obligations de vérification pourraient, selon lui, créer davantage de difficultés qu’elles n’en résolvent.
Les critiques suggèrent dès lors que la solution dépasse la seule technologie.
« Plutôt que d’imposer des règles aux entreprises, nous imposons des règles à notre propre population, ce qui constitue une réponse très étrange », a souligné Preneel, estimant que l’éducation numérique et l’implication des parents sont des outils plus efficaces pour la protection des enfants.
La nécessité de protéger les enfants en ligne est bien réelle et exige une réponse solide. Reste à savoir si une solution capable de satisfaire l’ensemble des parties prenantes existe. À en juger par le sentiment actuel des experts, il est peu probable qu’elle se résume à une simple application de vérification d’âge.
Si ces systèmes constituent la voie choisie par les gouvernements, l’attention devra se porter sur leur mise en œuvre rigoureuse. Comme le soulignent les experts interrogés, le défi consiste désormais à éviter de glisser sans s’en rendre compte vers une crise plus grave que celle que ces mesures entendent résoudre.
Nous testons et évaluons les services VPN dans le cadre d’usages légaux et récréatifs. Par exemple : 1. Accéder à un service depuis un autre pays (sous réserve des conditions générales de ce service). 2. Protéger sa sécurité en ligne et renforcer sa confidentialité lors de déplacements à l’étranger. Nous ne soutenons ni n’encourageons l’utilisation d’un service VPN pour enfreindre la loi ou mener des activités illégales. La consommation de contenus piratés payants n’est ni approuvée ni cautionnée par Future Publishing.
