Voici une question : combien de temps faut-il à un consultant en sécurité pour pirater la nouvelle application de vérification d’âge de l’UE, « techniquement prête » ?
Et voici la réponse : moins de deux minutes.
Sans aucun doute, l’histoire de la toute nouvelle application de vérification d’âge ultramoderne de l’UE et des erreurs techniques flagrantes qui ont immédiatement tourné en dérision ses prétentions de « préparation technique » est déjà remarquable en soi.
Mais ce n’est pas seulement une anecdote amusante d’incompétence technocratique de l’UE. C’est en réalité une étude de cas sur les faux drapeaux cybernétiques. Et cette histoire nous dit quelque chose d’important sur la dystopie numérique à venir.
Vous voulez connaître les détails ? Alors, poursuivez votre lecture !
L’« histoire amusante » de l’échec remarquable de l’application de l’UE
Comme toute personne suivant l’actualité le sait, les gouvernements du monde entier se démènent pour imposer des exigences de vérification d’âge sur les réseaux sociaux au nom de la « protection des enfants » contre les « dangers en ligne ». Le déploiement l’an dernier de l’interdiction australienne des réseaux sociaux — une nouvelle loi « interdisant à tous les utilisateurs de moins de 16 ans de posséder des comptes sur les principales plateformes, notamment TikTok, Snapchat, YouTube, Reddit, Instagram, Facebook, Kick, Twitch, Threads et X » — a été le premier exemple le plus connu de cette tendance. Depuis, le Brésil, le Canada, la Turquie, la Norvège, le Japon, la Grèce, divers États américains et une liste croissante d’autres gouvernements ont commencé à proposer ou adopter une législation similaire.
Afin d’aider à mettre en œuvre la « solution » à ce « problème » de vérification de l’âge des utilisateurs de réseaux sociaux, les gouvernements cherchent également à entrer sur le marché des applications de vérification d’âge. L’UE, par exemple, a commencé à promettre un « cadre de vérification d’âge en ligne » en juillet 2025, lorsque la vice-présidente exécutive de la Commission européenne, Henna Virkkunen, a révélé que la Commission « élaborait une approche commune » pour « une méthode de vérification d’âge harmonisée à l’échelle de l’UE » avec les États membres.
Cette « solution » est finalement arrivée le mois dernier sous la forme du portefeuille de vérification d’âge de l’UE, une nouvelle application lancée en grande pompe par la présidente de la Commission européenne, Ursula von der Leyen, lors d’une conférence de presse le 15 avril.
Le seul problème ? Malgré l’assurance donnée par von der Leyen que l’application est « techniquement prête et bientôt disponible pour les citoyens », il n’a fallu que deux minutes au chercheur en sécurité Paul Moore pour la pirater.
En fait, comme il l’a ensuite expliqué, l’architecture de sécurité de cette application est si défaillante qu’elle en devient presque invraisemblable. Selon Moore, l’application :
• stocke sur disque sans chiffrement l’image source utilisée pour collecter les données de vérification et ne supprime pas correctement ces données ;
• utilise « un numéro incrémental dans le même fichier de configuration » pour limiter les tentatives, ce qui signifie que les attaquants peuvent simplement remettre ce nombre à « 0 » et continuer à essayer ;
• ne lie pas le code PIN enregistré par l’utilisateur au coffre-fort contenant les données d’identité, ce qui signifie « qu’un attaquant peut simplement supprimer les valeurs PinEnc/PinIV du fichier shared_prefs et redémarrer l’application » ; et
• limite le nombre de vérifications d’âge disponibles pour un utilisateur tout en fixant une « date d’expiration » à leur preuve d’âge.
Pour ceux qui ne maîtrisent pas le jargon technique, ce sont des problèmes très graves qui rendent l’application extrêmement vulnérable aux attaques et exposent les informations privées des utilisateurs, y compris les scans de passeports et les images biométriques.
Sans surprise, les journalistes technologiques de Wired et TechPolicy.press, ainsi que les relais grand public de Politico et The Independent, ont eu tendance à traiter le scandale comme une simple bévue illustrant l’incompétence de technocrates pourtant bien intentionnés. Dans son article sur le sujet, Politico écrit par exemple : « La saga est en train de devenir un désastre de relations publiques pour Bruxelles. »
Oh non ! Quelqu’un ne va-t-il pas penser au service de communication de la Commission européenne !?
Dans une tentative apparente de redresser ce « désastre de relations publiques », les eurocrates ont publié la semaine dernière un « correctif » censé remédier aux failles de sécurité flagrantes de l’application.
… Mais, comme Paul Moore l’a immédiatement souligné, ce « correctif » est aussi fondamentalement défaillant que la version initiale. Plus précisément, les cerveaux de l’UE ont :
• « corrigé » le problème du chiffrement des données sur l’appareil… en introduisant trois dépendances obsolètes ;
• « corrigé » le problème de l’enregistrement des passeports en introduisant un mécanisme de suppression des photos de passeport lorsqu’elles ne sont plus nécessaires… mais ont oublié de chiffrer ces photos ;
• « corrigé » le problème de stockage du PIN en salant et hachant le PIN… en utilisant une norme dépassée reposant sur un nombre d’itérations inapproprié et trop faible.
Encore une fois, pour ceux qui ne maîtrisent pas le jargon de la sécurité : c’est mauvais. En fait, comme le note Moore, ce n’est rien de plus que du « théâtre de sécurité ». Ces correctifs sont conçus pour paraître impressionnants, mais, en réalité, ils ne traitent pas les failles fondamentales de l’application.
C’est à ce stade que l’on pourrait être tenté de se joindre aux soutiens de l’establishment qui fustigent l’incompétence de l’équipe technique de la Commission européenne. Mais si nous nous arrêtons là dans notre critique, nous risquons de tomber dans un piège insidieux.
Car il existe une théorie encore plus sombre concernant ce lancement désastreux : ces « défaillances » de sécurité n’en sont peut-être pas…
La théorie moins amusante selon laquelle ce n’était pas un « échec » ?
Face à l’échec catastrophique d’une institution de l’establishment, les « sceptiques » grand public — ceux qui ont des affiches de Michael Shermer sur leur mur et gardent Snopes.com dans les favoris de leur navigateur — aiment citer la règle empirique connue sous le nom de rasoir de Hanlon. Comme tout vérificateur de faits digne de ce nom le dira, cet adage affirme : « N’attribuez jamais à la malveillance ce qui s’explique suffisamment par la stupidité. »
Mais que faire dans un cas comme celui du désastre de l’application de l’UE ? Après tout, comme Moore et d’autres l’ont souligné, il ne s’agit pas simplement d’un programmeur inexpérimenté commettant une erreur de codage. Cette application a été conçue avec des failles de sécurité fondamentales intégrées dans son ADN numérique. Est-ce simplement un cas de pure incompétence ?
Pavel Durov, lui, ne le croit pas. Vous le connaissez peut-être comme cofondateur et PDG de Telegram, la plateforme de messagerie instantanée et de réseaux sociaux. Vous vous souvenez peut-être aussi qu’il a été arrêté par les autorités françaises en 2024 en raison de leur mécontentement face au manque de censure sur Telegram. Et, comme on peut s’y attendre, il a une lecture très différente de ce lancement que celle proposée par la presse dominante.
« Ne vous précipitez pas pour rire des bureaucrates de l’UE », a-t-il écrit dans une récente publication Telegram à ce sujet. « Leur application de vérification d’âge était piratable par conception — elle faisait confiance à l’appareil (ce qui signifie une défaite instantanée). »
Il poursuit ensuite en spéculant sur le véritable agenda derrière cet « échec ».
À moins que l’UE ne soit dirigée par des clowns ?, voici leur véritable plan :
Étape 1 — Présenter une application « respectueuse de la vie privée », mais piratable.
Étape 2 — Se faire pirater (VOUS ÊTES ICI).
Étape 3 — Supprimer la protection de la vie privée pour « corriger » l’application.
Résultat — un outil de surveillance vendu comme « respectueux de la vie privée ».
Les bureaucrates de l’UE avaient besoin d’une excuse pour commencer à transformer discrètement leur application de vérification d’âge « respectueuse de la vie privée » en mécanisme de surveillance sur tous les Européens utilisant les réseaux sociaux. Le « piratage surprenant » d’aujourd’hui leur a fourni cette excuse.
Autrement dit, Durov avance l’idée que ce lancement était en réalité une sorte de faux drapeau virtuel. Les eurocrates ne veulent pas créer une application qui respecte réellement la vie privée des utilisateurs ou qui leur permet de garder le contrôle de leur identité et de leurs données. Ils veulent plutôt installer une application de surveillance de type Big Brother sur chaque téléphone afin de collecter autant de données que possible.
Mais ces technocrates savaient que s’ils lançaient immédiatement une application aussi intrusive, le public la rejetterait. Ils ont donc déployé une application médiocre et facilement piratable pour montrer que le respect de la vie privée mettait les utilisateurs en danger. Il ne leur reste plus qu’à proposer leur « solution » déjà prévue — une application renforcée sur le plan de la sécurité, mais lourde en surveillance — et d’observer le public la réclamer à grands cris.
Il faut reconnaître aux eurocrates que, si tel est bien leur plan, il est suffisamment retors pour tromper la majorité du public. Toute idée selon laquelle l’application aurait été conçue pour être piratable peut être écartée par les pseudo-sceptiques invoquant le rasoir de Hanlon et par les relais médiatiques présentant l’affaire comme un exemple d’« incompétence » gouvernementale.
Dans ce cas, on peut peut-être opposer au rasoir de Hanlon une formulation alternative. Appelons-la le coupeur de Corbett : « N’attribuez jamais à la stupidité ce qui s’explique mieux par un sabotage délibéré. »
Mais, même si le coupeur de Corbett explique l’architecture de sécurité incompréhensiblement mauvaise de cette application, il reste une question majeure : pourquoi les gouvernements du monde entier sont-ils soudainement si obsédés par la vérification d’âge ? Pourquoi agissent-ils comme si connaître l’âge des utilisateurs d’internet était une question urgente ?
Du contrôle de l’âge au contrôle de l’identité
La « vérification d’âge » n’est qu’un leurre dans l’agenda technocratique. Les gouvernements ne se soucient pas réellement de protéger les enfants — les injections COVID et les bloqueurs de puberté en sont deux exemples récents — et ils ne cherchent pas à vérifier l’âge de tous les internautes par souci des jeunes sur TikTok.
Il s’agit plutôt de contrôle. L’objectif final — comme le savent déjà les lecteurs assidus du Corbett Report — est une grille de contrôle technocratique totale. Celle-ci impliquerait non seulement une surveillance complète en temps réel de tous les citoyens — y compris leur localisation précise, leurs déplacements, leurs interactions, leurs activités et l’enregistrement de leurs conversations — mais aussi le contrôle de leurs transactions via une monnaie numérique.
Mais cette grille repose sur l’identité numérique. Pour mettre en place un tel système, ceux qui aspirent à contrôler l’humanité doivent inscrire tout le monde dans leur base de données numérique et relier leurs appareils et toutes leurs activités à un identifiant unique.
À l’époque du COVID, cette poussée vers l’identification numérique était présentée comme nécessaire pour la biosécurité. « Vous ne voulez pas tuer votre grand-mère, n’est-ce pas ? Alors, laissez-nous suivre vos déplacements avec nos applications de traçage et conformez-vous à nos passeports vaccinaux numériques ! »
Inutile de dire — mais je le dis quand même — que c’était un mensonge. Ou plus précisément, c’était un prétexte commode pour justifier la construction d’une vaste infrastructure numérique reliant les mouvements et interactions des individus à un identifiant unique.
Maintenant que la pandémie est terminée, les technocrates cherchent un nouveau moyen de vendre ce programme à un public crédule. Ils reprennent donc le refrain bien connu : « Et les enfants, alors ? » Après tout, vous voulez protéger les enfants des prédateurs en ligne, n’est-ce pas ?
À la lumière de ce qui précède, on peut comprendre la ruée vers la vérification d’âge comme un masque de l’agenda de l’identité numérique. Mais ne me croyez pas sur parole. Écoutez plutôt Andy Yen.
Pour ceux qui ne le connaissent pas, Andy Yen est le PDG de Proton AG, la société suisse à l’origine de services internet axés sur la confidentialité comme ProtonMail. La semaine dernière, il a publié un billet de blog intitulé « Nous devons empêcher la vérification d’âge de tuer l’anonymat en ligne », dans lequel il décrit le passage de la vérification d’âge à l’identité numérique et la menace que cela représente pour la vie privée.
La vie privée en ligne a toujours été fragile. Mais avec la vérification d’âge, nous sommes sur le point d’exiger une pièce d’identité pour chaque personne se connectant à Internet, quelle qu’en soit la raison. Et cela devrait tous nous inquiéter.
Aucune entreprise ne peut ignorer les lois de sa juridiction, mais les grandes entreprises technologiques ont montré qu’elles coopèrent massivement avec les gouvernements. Elles répondent chaque année à des centaines de milliers de demandes de données, souvent sans contrôle judiciaire, et ce nombre ne cesse d’augmenter.
De plus, elles cèdent à la pression étatique et peuvent bannir des applications. Si chaque compte Apple au Royaume-Uni est lié à une pièce d’identité, combien de temps faudra-t-il pour que d’autres pays exigent la même chose ? Une fois ces identifiants utilisés pour bloquer l’accès selon l’âge, il devient facile de le faire selon la nationalité ou d’autres critères.
Combien de temps avant que la Chine n’exige les noms de tous ceux ayant téléchargé une application donnée ? Combien de temps avant que des listes d’« indésirables » ne soient transmises aux géants technologiques avec ordre de les exclure d’internet ? Est-ce vraiment une voie que nous sommes prêts à emprunter ?
Malheureusement, la réponse pourrait bien être « oui ».
En effet, lorsque les gens se voient présenter un argument plausible — les technocrates de l’UE ne savent tout simplement pas coder une application respectueuse de la vie privée — et une motivation plausible — protéger les enfants — la plupart mordront à l’hameçon et se rangeront derrière l’agenda de la vérification d’âge. Bien sûr, lorsque ces personnes bien intentionnées, mais trop confiantes réaliseront qu’il ne s’agit pas du tout de vérification d’âge, mais de la création d’un filet numérique, il sera trop tard. Elles seront déjà prises dans la gueule de la bête numérique.
La vraie question est donc : que faire ? J’ai mes propres idées, comme vous le savez, notamment boycotter les géants des réseaux sociaux, soutenir la création d’alternatives aux réseaux sociaux, et même rejeter complètement le monde numérique. Je suis bien sûr curieux de connaître vos propres réflexions sur ce que vous comptez faire alors que l’étau de l’identité numérique se resserre, et les membres du Corbett Report sont invités à se connecter et à laisser leurs commentaires ci-dessous.
Mais plutôt que de s’attarder sur le pessimisme, retenons un point positif. La prochaine fois qu’un prétendu « sceptique » favorable à l’establishment invoquera le rasoir de Hanlon pour expliquer une série d’« échecs », vous pourrez désormais dégainer le coupeur de Corbett pour lui clouer le bec et lui faire ravaler ses paroles.
… Métaphoriquement parlant, bien sûr.
Texte original publié le 26 avril 2026 : https://corbettreport.substack.com/p/eu-age-verification-app-hacked-in