20/04
Vérification d’âge : l’application européenne déjà hackée en deux minutes par des chercheurs
L’Union européenne pensait avoir franchi un cap dans la protection des mineurs en ligne. Mais à peine 24 heures après sa présentation officielle, son application de vérification d’âge se retrouve déjà fragilisée par des failles de sécurité.
Le 15 avril 2026, Ursula von der Leyen annonçait le lancement d’une application européenne présentée comme une solution à la fois fiable et respectueuse de la vie privée. L’objectif : permettre aux internautes de prouver leur majorité sans divulguer leurs données personnelles, grâce à une technologie dite de « zero knowledge proof ». Pensée dans le cadre du Digital Services Act, l’application vise à harmoniser la vérification d’âge à l’échelle européenne. L’utilisateur doit enregistrer une seule fois un document d’identité, puis peut ensuite attester de son âge auprès de différents services en ligne, sans révéler d’informations sensibles.
Plusieurs pays, dont la France, l’Espagne, l’Italie ou encore le Danemark, participent déjà à des phases pilotes. À terme, cette solution doit s’intégrer dans le futur portefeuille d’identité numérique européen.
Mais dès le lendemain de l’annonce, un expert en cybersécurité a jeté un froid. Paul Moore a publié une démonstration montrant qu’il était possible de contourner entièrement le système en moins de deux minutes, sans outil avancé. Selon lui, la faille réside dans l’architecture même de l’application. Le code PIN, utilisé pour sécuriser l’accès, est stocké localement sans être correctement lié aux données d’identité. En modifiant simplement certains fichiers, il devient possible de redéfinir ce code et de prendre le contrôle du compte.
D’autres mécanismes de sécurité présentent également des faiblesses. Le système de limitation des tentatives peut être réinitialisé facilement, tandis que l’authentification biométrique peut être désactivée par une simple modification interne. Au-delà de ces vulnérabilités techniques, certains experts pointent un problème plus profond. Une analyse publiée en mars 2026 évoquait déjà une faiblesse dans le processus de vérification lui-même, incapable de garantir que le contrôle d’identité a bien été réalisé sur l’appareil de l’utilisateur.
Ces critiques soulignent un enjeu majeur : l’application ne constitue pas un simple outil isolé, mais une brique du futur système d’identité numérique européen. Cette situation met la Commission européenne dans une position délicate. Le projet vise à répondre à des enjeux sensibles, entre protection des mineurs, respect de la vie privée et souveraineté numérique.
Pour l’instant, aucune communication officielle n’a été faite concernant ces failles ni sur d’éventuels correctifs. Pourtant, l’ambition reste intacte : déployer ce type de solution à grande échelle dans les États membres d’ici la fin de l’année 2026.