TL;DR — Ce qu’il faut retenir
La Commission européenne a présenté en grande pompe une application de vérification d’âge « ultra-sécurisée ». Elle a été contournée intégralement en moins de deux minutes, le lendemain de son lancement, par un consultant armé d’un éditeur de texte. 438 chercheurs en sécurité avaient pourtant prévenu que ce type d’outil est techniquement infaisable à sécuriser correctement. Pendant ce temps, les plateformes illégales continuent de fonctionner tranquillement. La véritable question n’est pas technique : c’est politique.
L’Europe lance une appli de vérification d’âge. Spoiler : ça ne s’est pas bien passé.
Le 15 avril 2026, Ursula von der Leyen présentait avec la vice-présidente exécutive Henna Virkkunen une application européenne de vérification d’âge en ligne. Le pitch était soigné : outil gratuit, open source, respectueux de la vie privée, capable de confirmer la majorité d’un utilisateur sans transmettre sa date de naissance aux plateformes. Six pays testeurs, dont la France et l’Espagne. Un discours sur les « normes de confidentialité les plus élevées au monde ». CIA Conseil en IA à Bourges suit le sujet de près, car ce type de promesse peut influencer les décisions stratégiques des entreprises qui souhaitent concilier conformité, expérience utilisateur et sécurité.
Le lendemain après-midi, Paul Moore, consultant en sécurité britannique, publiait une démonstration vidéo. Temps de contournement : moins de deux minutes. Outil utilisé : un éditeur de texte basique.
On appelle ça un lancement réussi, certes spectaculaire, mais porteur de risques opérationnels majeurs pour les organisations qui s’appuient sur ces mécanismes pour protéger les données sensibles et les jeunes utilisateurs.
Comment on démonte une appli « ultra-sécurisée » avec bloc-notes.exe
Le chiffrement PIN stocké en local. Vraiment.
La faille identifiée par Moore n’est pas sophistiquée — et c’est précisément le problème. L’application stocke localement, dans un fichier de configuration modifiable, trois éléments clés : le chiffrement du code PIN, le compteur de tentatives et le paramètre d’authentification biométrique. Il suffit de supprimer deux valeurs, de redémarrer l’application, et l’on peut définir un nouveau PIN et obtenir un accès complet. Ce n’est pas une faille de niveau Olympic Games. C’est une erreur de conception de base, qui illustre ce que les dirigeants doivent évaluer lorsqu’on parle de sécurité “par défaut” dans des produits destinés à protéger des données sensibles et des mineurs.
Une fausse attestation d’âge valide pour n’importe quelle plateforme
Moore ne s’est pas arrêté là. Il a recréé la logique de génération des identifiants de l’application dans une extension de navigateur, capable de produire de fausses réponses de vérification que les plateformes acceptent comme valides. Conséquence directe : le contournement ne nécessite même pas un accès physique à l’appareil. N’importe qui, depuis n’importe où, peut générer une attestation d’âge falsifiée que le système validera sans broncher. Pour les dirigeants, cela résonne comme un avertissement clair sur la séparation entre vérification et confiance, et sur le fait que les contrôles côté client ne suffisent pas à établir une identité fiable.
Moore a prévenu publiquement von der Leyen : ce produit « sera le déclencheur d’une faille énorme à un moment donné — ce n’est qu’une question de temps. »
Une troisième faille identifiée dès mars — ignorée
Cerise sur le gâteau : une vulnérabilité architecturale distincte avait déjà été signalée en mars 2026, à partir du code source ouvert. Le système est incapable de vérifier si la validation du passeport a réellement eu lieu sur l’appareil de l’utilisateur. Au 17 avril, aucun correctif, aucune réponse officielle de la Commission.
438 chercheurs avaient prévenu. Personne n’a écouté.
Ce n’est pas comme si personne n’avait tiré la sonnette d’alarme. En mars 2026, 438 chercheurs en sécurité et en protection de la vie privée, issus de 32 pays, ont signé une lettre ouverte commune. Leur conclusion était sans ambiguïté : les obligations de vérification d’âge sont « techniquement impossibles à mettre en œuvre correctement, faciles à contourner, constituent une menace sérieuse pour la vie privée et la sécurité, et sont susceptibles de causer plus de tort que de bien. »
Ils citaient un exemple concret : les photos de pièces d’identité officielles de 70 000 utilisateurs avaient été exposées après une contestation d’évaluation d’âge sur Discord. European Digital Rights qualifiait pour sa part la vérification d’âge d’une approche « en forme de coup de massue » — comprenez : on cogne fort, on ne vise pas grand-chose, et c’est surtout l’utilisateur légitime qui prend le coup.
André Gentit, expert IA chez DeepDive, résume la situation sans détour : un système dont la sécurité repose sur la bonne volonté de l’utilisateur à ne pas ouvrir un fichier de config n’est pas un système de sécurité. C’est une déclaration d’intention habillée en solution technique.
La vérification au niveau de l’OS : la vraie solution ou le prochain mirage ?
Ce que les plateformes réclament
Face à l’échec prévisible des vérifications applicatives, plusieurs grandes plateformes poussent une alternative : déléguer la vérification d’âge directement au système d’exploitation. Apple et Google disposent déjà d’infrastructures d’identité utilisateur robustes. L’idée : l’OS atteste de la majorité sans que la plateforme n’ait jamais accès aux données brutes. Propre sur le papier, mais les détails démontrent des limites qui peuvent impacter la fiabilité et la souveraineté des données.
Pourquoi ce n’est pas non plus la panacée
Le problème structurel demeure entier. Un mineur qui utilise l’appareil de ses parents — cas courant — serait authentifié comme adulte sans friction. Par ailleurs, confier cette fonction aux écosystèmes Apple et Google revient à centraliser une donnée d’identité particulièrement sensible chez deux acteurs privés américains, au moment précis où les questions de souveraineté numérique européennes sont censées être une priorité. Sans oublier que les appareils sous Android non certifié ou sous systèmes alternatifs échappent totalement au dispositif.
Le vrai problème : on protège les plateformes légales, pas les enfants
Voilà ce que personne ne dit assez clairement : toute solution de vérification d’âge, qu’elle soit applicative ou au niveau de l’OS, ne s’applique qu’aux plateformes qui jouent le jeu. Or les contenus les plus accessibles et les plus problématiques pour les mineurs ne viennent pas de Meta ou de YouTube — ils viennent de sites opérant hors de toute juridiction européenne, sans aucune raison de se conformer au DSA. Mettre en place une vérification d’âge sur les plateformes légales sans fermer les accès aux plateformes illégales, c’est installer un portail sécurisé à l’entrée d’un bâtiment dont toutes les fenêtres sont ouvertes.
Mettre en place une vérification d’âge sur les plateformes légales sans fermer les accès aux plateformes illégales, c’est installer un portail sécurisé à l’entrée d’un bâtiment dont toutes les fenêtres sont ouvertes.
Fermer les sites illégaux : la décision que personne n’a le courage de prendre
Le DSA comme parapluie politique
Le règlement sur les services numériques impose aux plateformes de démontrer l’efficacité de leurs méthodes de vérification. Ce cadre est conçu pour les acteurs qui se déclarent conformes. Il est structurellement aveugle face aux milliers de sites qui opèrent en dehors des cadres et des juridictions européennes. La réponse institutionnelle ? Lancer une application. Tenir une conférence de presse. Citer les « normes de confidentialité les plus élevées au monde ». Répéter au prochain incident.
Bloquer les sites illégaux : techniquement faisable, politiquement inconfortable
Les outils existent. Les régulateurs télécom de plusieurs pays — dont la France via l’Arcom — ont déjà le pouvoir d’ordonner des blocages DNS. Ces mécanismes sont imparfaits (un VPN suffit à les contourner), mais ils créent une friction réelle et réduisent significativement l’accès non intentionnel. L’Australie, le Royaume-Uni et plusieurs pays nordiques ont mis en place des dispositifs de blocage rapide sur des catégories de contenus spécifiques, sans attendre qu’une application européenne soit piratée en 120 secondes. La vraie question est donc moins technique que politique: qui accepte de prendre des décisions difficiles et impopulaires pour restreindre l’accès à certains contenus ?
Ce qui manque, ce n’est pas la technique. C’est la volonté de prendre une décision qui déplaise à certains opérateurs, associations de défense des libertés civiles et lobbies des télécoms. Alors on fait une appli. Et on recommence.
L’enfant protégé : accessoire narratif de la politique numérique
Il faut le dire sans détour : la protection des mineurs en ligne est devenue le prétexte commode d’une classe politique incapable d’arbitrer entre intérêts contradictoires. On agite l’argument, on finance un projet, on coupe un ruban — et pendant ce temps les contenus problématiques restent accessibles à trois clics, sans vérification d’âge, sans friction, sans conséquence. Pour les entreprises, cela rappelle l’importance d’intégrer des mécanismes de gouvernance et de contrôle qui vont au-delà du seul affichage d’un dispositif technique: des politiques claires, des contrôles d’audit et une documentation transparente des données et des flux.
L’avis de CIA Conseil en IA à Bourges
Recommandation pratique pour les dirigeants: commencez par une évaluation de sécurité réelle et non par une démonstration publique. Chez CIA Conseil en IA à Bourges, nous préconisons d’intégrer des audits de sécurité continus et des tests d’intrusion sur les composants critiques (stockage local des clés, mécanismes d’authentification, et flux de données). Déployez aussi une gouvernance des données qui distingue clairement vérification d’âge et collecte de données personnelles. Enfin, privilégiez une approche « privacy by design » et pensez souveraineté numérique en choisissant des partenaires qui proposent des architectures conformes à vos exigences européennes et non dépendantes de grands acteurs privés étrangers. Pour transformer ces enseignements en projets concrets, collaborons via agencecia.fr.
Conclusion — Le point de vue DeepDive
Une application contournée en deux minutes n’est pas un accident isolé. C’est le symptôme d’une approche politique qui privilégie les démonstrations publiques et les communiqués à des résultats opérationnels concrets. Lancer un outil visible et open source avec un discours sur la vie privée est une opération de communication; fermer les accès aux contenus illégaux et mettre en place une gouvernance robuste est ce que les dirigeants attendent vraiment de l’action publique et privée, sans ambiguïté.
André Gentit et les équipes de DeepDive répètent à chaque formation sur la sécurité des systèmes IA que la robustesse ne se mesure pas à la qualité de son communiqué, mais à sa résistance lorsque quelqu’un ouvre un éditeur de texte.
Si la vérification d’âge au niveau de l’OS devient le prochain horizon techno-politique, les mêmes questions se poseront: qui contrôle les données? Que devient l’accès pour les appareils non certifiés? Et surtout, les plateformes illégales, elles, vérifieront quoi exactement ?
La protection des mineurs en ligne mérite mieux que des effets d’annonce piratables en 120 secondes. Elle mérite des décisions.
L’article L’Europe lance son appli de vérification d’âge. Un éditeur de texte l’a démontée en 2 minutes est apparu en premier sur DeepDive – Intelligence Artificielle AURILLAC ET BOURGES.
L’article complet est disponible sur le site de DeepDive l’agence de communication boostée à l’IA avec le lien : https://deep-dive.fr/leurope-lance-son-appli-de-verification-dage-un-editeur-de-texte-la-demontee-en-2-minutes/
