Le projet ambitieux de l’Union européenne visant à protéger les mineurs en ligne grâce à une application centralisée de vérification de l’âge fait l’objet d’un examen minutieux. Suite à sa récente annonce, l’initiative a été frappée par des allégations de failles de sécurité fondamentales, le fondateur de Telegram Pavel Durov affirmant que le système pourrait être compromis en seulement deux minutes.
Le conflit central : sécurité contre surveillance
La Commission européenne a lancé l’application dans le but déclaré de responsabiliser les plateformes numériques et de donner la priorité à la sécurité des enfants plutôt qu’au profit commercial. Dans le cadre du système proposé, les utilisateurs seraient tenus de fournir une pièce d’identité gouvernementale reconnue, telle qu’un passeport, pour accéder à divers services en ligne.
Cependant, les critiques affirment que le mécanisme destiné à protéger les enfants pourrait en réalité créer une énorme vulnérabilité en matière de sécurité.
- Le problème de la « confiance » : Pavel Durov a critiqué l’architecture de l’application, la qualifiant d’« outil de surveillance ». Il a fait valoir que le système est « piratable de par sa conception » car il repose sur la confiance dans l’appareil de l’utilisateur – une vulnérabilité qui, selon lui, rend la sécurité de l’ensemble du système « terminée instantanément ».
- L’argument de la liberté : Au-delà des détails techniques, Durov a suggéré que la promotion de tels outils sert de prétexte aux bureaucrates pour éroder progressivement les libertés numériques.
Drapeaux rouges techniques : cryptage et stockage de données
Alors que la présidente de la Commission européenne, Ursula von der Leyen, a défendu l’application, insistant sur le fait qu’elle répond aux « normes de confidentialité les plus élevées » et qu’elle reste « totalement anonyme », les chercheurs en sécurité constatent des écarts entre ces affirmations et les performances réelles de l’application.
Bien que l’application soit open source, ce qui permet une inspection publique de son code, les premiers tests ont révélé des risques importants en matière de confidentialité :
- Données non cryptées : Le consultant en sécurité Paul Moore a signalé un « grave problème de confidentialité » concernant la façon dont l’application gère les documents sensibles.
- Images persistantes : Moore a noté que les images sources utilisées pour la vérification (passeports, pièces d’identité ou selfies) ne sont pas cryptées et, surtout, ne peuvent pas être correctement supprimées de l’appareil.
- Le facteur de risque : Laisser des images biométriques et d’identité non cryptées sur le disque d’un appareil crée une cible de grande valeur pour les pirates informatiques, exposant potentiellement les utilisateurs au vol d’identité.
La réponse de la Commission
La Commission européenne n’a pas retiré ses plans, même si elle a reconnu la nécessité de les affiner. Un porte-parole de la Commission a précisé que la version actuelle est une démo, suggérant que même si la technologie est « prête », elle reste sujette à une amélioration continue.
Pour l’instant, aucune date de lancement officielle n’a été fixée, laissant l’avenir de l’initiative dans un état d’incertitude alors que le débat entre sécurité numérique et vie privée s’intensifie.
Conclusion
La controverse met en évidence une tension croissante dans la gouvernance numérique : la difficulté de mettre en œuvre une vérification robuste de l’âge sans créer des bases de données centralisées de données biométriques sensibles et vulnérables à l’exploitation.
