Le 15 avril 2026, la Commission europeenne a annonce que sa nouvelle application de verification d'age numerique etait techniquement prete pour le deploiement. La presidente de la Commission, Ursula von der Leyen, l'a presentee en personne en declarant qu'elle repondait aux "normes de confidentialite les plus elevees." L'outil est concu pour proteger les mineurs contre les contenus prejudiciables sur les plateformes de reseaux sociaux.
La conception technique semblait convincante: numerisation du passeport ou de la carte d'identite, verification biometrique par video-selfie, traitement entierement effectue sur l'appareil de l'utilisateur sans transmission de donnees vers des serveurs externes. Code source ouvert, compatibilite avec le futur portefeuille d'identite numerique europeen (EUDI). La promesse: prouver sa majorite sans divulguer aucune donnee personnelle.
Contourne en moins de 2 minutes
Quelques heures seulement apres l'annonce officielle, le consultant en securite britannique Paul Moore a publie une demonstration complete de contournement de l'authentification. Temps necessaire: moins de deux minutes.
La methode etait d'une simplicite alarmante. Le compteur de protection contre le brute-force du code PIN est stocke comme un entier ordinaire dans un fichier de configuration en texte brut - il peut etre remis a zero manuellement. La verification biometrique est implementee comme un indicateur booleen dans le meme fichier - le mettre a false permet d'ignorer completement cette etape. Supprimer deux valeurs (PinEnc et PinIV) et relancer l'application donne acces au profil d'identite d'un autre utilisateur.
Aucun outil specialise, aucun exploit zero-day - juste un editeur de texte. Un audit de securite realise en mars 2026 avait deja revele que le composant emetteur de l'application ne peut pas verifier que la verification du passeport s'est reellement effectuee sur l'appareil de l'utilisateur.
Durov: piratable par conception
Le fondateur de Telegram, Pavel Durov, a commente la situation dans sa chaine. Son analyse: l'application etait piratable par architecture, non par accident. Faire confiance aveuglement a l'appareil local et stocker des parametres de securite critiques dans des fichiers modifiables rend toute garantie de securite illusoire.
Durov a souleve une preoccupation plus grave: l'echec retentissant pourrait fournir aux autorites europeennes un pretexte commode pour reorienter l'application vers une verification centralisee, creant ainsi une infrastructure ou chaque visite d'un site a acces restreint serait enregistree sur des serveurs gouvernementaux. Un outil de protection de l'enfance pourrait ainsi devenir un mecanisme de surveillance generalisee de l'activite en ligne des citoyens.
Durov avait deja critique les plans espagnols de verification d'age obligatoire sur les reseaux sociaux, les qualifiant d'etape vers un "etat de surveillance," et s'est regulierement oppose au projet Chat Control de l'UE.
Le contexte global
L'application de verification d'age s'inscrit dans l'agenda numerique plus large de l'UE. Conformement au reglement eIDAS 2.0, tous les Etats membres doivent deployer des versions nationales du portefeuille d'identite numerique europeen d'ici fin 2026. L'application devait constituer la premiere etape publique vers un systeme d'identite numerique unifie pour les citoyens europeens.
Les critiques ont longtemps averti: tout systeme exigeant une confirmation d'identite pour acceder a du contenu cree inevitablement une infrastructure de surveillance, quelles que soient les intentions des developpeurs. Le piratage en deux minutes confirme que l'execution technique est tres en deca des ambitions affichees.
Au moment de la publication, la Commission europeenne n'avait pas encore reagi officiellement et n'avait publie aucun correctif de securite.
Vulnerabilites supplementaires et preoccupations RGPD
Des analyses supplementaires ont revele d'autres problemes. Les photos du visage extraites des documents d'identite sont stockees sur l'appareil sous forme de fichiers PNG non chiffres. Les selfies de verification sont ecrits dans le stockage externe et ne sont jamais supprimes. Le chercheur Moore a egalement demontre qu'une extension de navigateur peut generer de fausses reponses de verification valides, contournant completement l'application. Cela contredit directement la declaration officielle selon laquelle "aucune donnee personnelle n'est stockee" et souleve de serieuses questions de conformite au RGPD.
Un detail remarquable: le depot GitHub officiel de l'application contient un avertissement indiquant qu'il s'agit d'un logiciel en "developpement precoce" avec des normes de securite reduites et deconseille son utilisation en production. Cet avertissement etait la lors de l'annonce officielle d'Ursula von der Leyen.
Sources: Post Telegram de Durov, Cybernews, CyberSecurityNews, PiunikaWeb, CyberInsider, Biometric Update
