Age Verification, la nouvelle application officielle de vérification d’âge de l’Union européenne, est-elle un gruyère en matière de sécurité ? À en croire un chercheur en sécurité qui est parvenu à la pirater en moins de 2 minutes, la réponse est oui.

Age Verification, l’application de vérification d’âge de l’Europe

Le mercredi 15 avril 2026, la présidente de la Commission européenne, Ursula von der Leyen, a dévoilé la nouvelle application de vérification d’âge mise au point par l’Union Européenne. Nommée Age Verification, cette application mobile doit notamment permettre aux individus européens de prouver qu’ils ont l’âge requis pour accéder aux réseaux sociaux, une obligation qui doit entrer en vigueur en septembre prochain. Cette application doit permettre aux citoyens de prouver leur âge en ligne sans transmettre de données personnelles sensibles aux plateformes, ce qui est plutôt intéressant en comparaison d’autres alternatives ayant la même finalité.

“L’application est totalement anonyme, elle fonctionne sur n’importe quel appareil et son logiciel est entièrement open source, ce qui signifie que les pays partenaires dans le monde entier peuvent également l’adopter.”, précise le communiqué disponible sur europa.eu. Lors de son allocution, Ursula von der Leyen a également affirmé que cette application respectait “les normes les plus élevées au monde” en matière de confidentialité et de respect de la vie privée.

Le problème, c’est que le consultant en sécurité Paul Moore montre qu’il est possible de contourner la sécurité de l’application en moins de 2 minutes… Il n’a pas mâché ses mots sur X : “Sérieusement, Von der Leyen – ce produit sera le catalyseur d’une énorme violation à un moment donné. Ce n’est qu’une question de temps.”

Mais alors, c’est quoi le problème ?

Une mauvaise gestion du code PIN

En analysant le fonctionnement de l’application, Paul Moore a mis en évidence des vulnérabilités dans la gestion du code PIN. Je dirais même qu’il y a des lacunes dans la façon dont sont stockées les données en local sur l’appareil, ce qui facilite le piratage.

Lors de la première utilisation de cette application, l’utilisateur doit créer un code PIN. Il permet de déverrouiller l’accès à ses informations et permet donc de vérifier l’âge sur une plateforme par cet intermédiaire.

Mais Paul Moore a identifié plusieurs problèmes :

• Un chiffrement décorrélé de l’identité : le code PIN chiffré est stocké localement, mais n’est pas lié au coffre-fort d’identité de l’utilisateur. En supprimant certaines valeurs dans les fichiers de configuration, un attaquant peut définir un nouveau code PIN tout en conservant l’accès aux données du profil précédent.
• Un blocage des tentatives (brute force) inadapté : la limitation du nombre de saisies de codes PIN (rate limiting) repose sur un simple compteur stocké dans un fichier modifiable. Il suffit de le remettre à zéro pour effectuer des attaques par brute force à l’infini.
• Une biométrie désactivable facilement : l’authentification biométrique est contrôlée par un simple paramètre booléen. En le passant de “vrai” à “faux”, l’application ignore totalement cette étape de vérification.

Sur X, Paul Moore a publié un ensemble de messages et même une démonstration vidéo que vous pouvez regarder ci-dessous.

Hacking the #EU #AgeVerification app in under 2 minutes.

During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.

1. It shouldn’t be encrypted at all – that’s a really poor design.
2. It’s not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ

— Paul Moore – Security Consultant  (@Paul_Reviews) April 16, 2026

Cette publication est à l’origine de nombreuses réactions, et certaines personnes se demandent pourquoi cette application n’utilise pas d’enclave sécurisée pour stocker ses données et les protéger. Ce sont des mécanismes de sécurité que l’on retrouve aujourd’hui sur Android et iOS. Ils renforcent la protection des données, car même si le système d’exploitation est infecté par un malware ou compromis, les données contenues dans cette enclave restent inaccessibles.

De son côté, Pavel Durov, cofondateur et PDG de Telegram, n’a pas manqué de réagir à ces révélations par l’intermédiaire d’une publication plutôt salée à l’encontre de l’Union Européenne. Il affirme que c’est une application conçue pour être piratable et que ce n’est qu’un “outil de surveillance vendu comme respectueux de la vie privée”.

Une chose est sûre, cette histoire de vérification d’âge est un fiasco complet qui ne cesse de s’éterniser.

Source