TL;DR — Ce qu’il faut retenir
La Commission européenne a présenté en grande pompe une application de vérification d’âge « ultra-sécurisée ». Elle a été contournée intégralement en moins de deux minutes, le lendemain de son lancement, par un consultant armé d’un éditeur de texte. 438 chercheurs en sécurité avaient pourtant prévenu que ce type d’outil est techniquement infaisable à sécuriser correctement. Pendant ce temps, les plateformes illégales continuent de fonctionner tranquillement. La véritable question n’est pas technique : c’est politique.

L’Europe lance une appli de vérification d’âge. Spoiler : ça ne s’est pas bien passé.

Le 15 avril 2026, Ursula von der Leyen présentait avec la vice-présidente exécutive Henna Virkkunen une application européenne de vérification d’âge en ligne. Le pitch était soigné : outil gratuit, open source, respectueux de la vie privée, capable de confirmer la majorité d’un utilisateur sans transmettre sa date de naissance aux plateformes. Six pays testeurs, dont la France et l’Espagne. Un discours sur les « normes de confidentialité les plus élevées au monde ».

Le lendemain après-midi, Paul Moore, consultant en sécurité britannique, publiait une démonstration vidéo. Temps de contournement : moins de deux minutes. Outil utilisé : un éditeur de texte basique.

On appelle ça un lancement réussi.

Comment on démonte une appli « ultra-sécurisée » avec bloc-notes.exe

Le chiffrement PIN stocké en local. Vraiment.

La faille identifiée par Moore n’est pas sophistiquée — ce qui est précisément le problème. L’application stocke localement, dans un fichier de configuration modifiable, trois éléments : le chiffrement du code PIN, le compteur de tentatives limitant les attaques par force brute, et le paramètre d’authentification biométrique. Il suffit de supprimer deux valeurs, de redémarrer l’appli, et l’on peut définir un nouveau PIN et obtenir un accès complet.

Ce n’est pas une faille de niveau Olympic Games. C’est une erreur de conception de base.

Une fausse attestation d’âge valide pour n’importe quelle plateforme

Moore ne s’est pas arrêté là. Il a recréé la logique de génération des identifiants de l’application dans une extension de navigateur, capable de produire de fausses réponses de vérification que les plateformes acceptent comme valides. Conséquence directe : le contournement ne nécessite même pas un accès physique à l’appareil. N’importe qui, depuis n’importe où, peut générer une attestation d’âge falsifiée que le système validera sans broncher.

Moore a prévenu publiquement von der Leyen : ce produit « sera le déclencheur d’une faille énorme à un moment donné — ce n’est qu’une question de temps. »

Une troisième faille identifiée dès mars — ignorée

Cerise sur le gâteau : une vulnérabilité architecturale distincte avait déjà été signalée en mars 2026, à partir du code source ouvert. Le système est incapable de vérifier si la validation du passeport a réellement eu lieu sur l’appareil de l’utilisateur. Au 17 avril, aucun correctif, aucune réponse officielle de la Commission.

438 chercheurs avaient prévenu. Personne n’a écouté.

Ce n’est pas comme si personne n’avait tiré la sonnette d’alarme. En mars 2026, 438 chercheurs en sécurité et en protection de la vie privée, issus de 32 pays, ont signé une lettre ouverte commune. Leur conclusion était sans ambiguïté : les obligations de vérification d’âge sont « techniquement impossibles à mettre en œuvre correctement, faciles à contourner, constituent une menace sérieuse pour la vie privée et la sécurité, et sont susceptibles de causer plus de tort que de bien. »

Ils citaient un exemple concret : les photos de pièces d’identité officielles de 70 000 utilisateurs avaient été exposées après une contestation d’évaluation d’âge sur Discord. European Digital Rights qualifiait pour sa part la vérification d’âge d’approche « en forme de coup de massue » — comprenez : on cogne fort, on ne vise pas grand-chose, et c’est surtout l’utilisateur légitime qui prend le coup.

André Gentit, expert IA chez DeepDive, résume la situation sans détour : un système dont la sécurité repose sur la bonne volonté de l’utilisateur à ne pas ouvrir un fichier de config n’est pas un système de sécurité. C’est une déclaration d’intention habillée en solution technique.

La vérification au niveau de l’OS : la vraie solution ou le prochain mirage ?

Ce que les plateformes réclament

Face à l’échec prévisible des vérifications applicatives, plusieurs grandes plateformes poussent une alternative : déléguer la vérification d’âge directement au système d’exploitation. Apple et Google disposent déjà d’infrastructures d’identité utilisateur robustes. L’idée : l’OS atteste de la majorité sans que la plateforme n’ait jamais accès aux données brutes. Propre sur le papier.

Pourquoi ce n’est pas non plus la panacée

Le problème structurel demeure entier. Un mineur qui utilise l’appareil de ses parents — cas on ne peut plus courant — serait authentifié comme adulte sans la moindre friction. Par ailleurs, confier cette fonction aux écosystèmes Apple et Google revient à centraliser une donnée d’identité particulièrement sensible chez deux acteurs privés américains, au moment précis où les questions de souveraineté numérique européenne sont censées être une priorité. Sans oublier que les appareils sous Android non certifié ou sous systèmes alternatifs échappent totalement au dispositif.

Le vrai problème : on protège les plateformes légales, pas les enfants

Voilà ce que personne ne dit assez clairement : toute solution de vérification d’âge, qu’elle soit applicative ou au niveau de l’OS, ne s’applique qu’aux plateformes qui jouent le jeu. Or les contenus les plus accessibles et les plus problématiques pour les mineurs ne viennent pas de Meta ou de YouTube — ils viennent de sites opérant hors de toute juridiction européenne, sans aucune raison de se conformer au DSA.

Mettre en place une vérification d’âge sur les plateformes légales sans fermer les accès aux plateformes illégales, c’est installer un portail sécurisé à l’entrée d’un bâtiment dont toutes les fenêtres sont ouvertes.

Fermer les sites illégaux : la décision que personne n’a le courage de prendre

Le DSA comme parapluie politique

Le règlement sur les services numériques impose aux plateformes de démontrer l’efficacité de leurs méthodes de vérification. Ce cadre est conçu pour les acteurs en règle. Il est structurellement aveugle aux milliers de sites qui ne se déclarent pas, ne se conforment pas, et opèrent précisément parce qu’aucune juridiction ne les inquiète sérieusement.

La réponse institutionnelle à ce constat ? Lancer une application. Tenir une conférence de presse. Citer les « normes de confidentialité les plus élevées au monde ». Répéter au prochain incident.

Bloquer les sites illégaux : techniquement faisable, politiquement inconfortable

Les outils existent. Les régulateurs télécom de plusieurs pays — dont la France via l’Arcom — ont déjà le pouvoir d’ordonner des blocages DNS. Ces mécanismes sont imparfaits (un VPN suffit à les contourner), mais ils créent une friction réelle et réduisent significativement l’accès non intentionnel. L’Australie, le Royaume-Uni et plusieurs pays nordiques ont mis en place des dispositifs de blocage rapide sur des catégories de contenus spécifiques, sans attendre qu’une application européenne soit piratée en 120 secondes.

Ce qui manque, ce n’est pas la technique. C’est la volonté de prendre une décision qui déplaise à quelqu’un : aux opérateurs, aux associations de défense des libertés civiles, aux lobbies des télécoms. Alors on fait une appli. Et on recommence.

L’enfant protégé : accessoire narratif de la politique numérique

Il faut le dire sans détour : la protection des mineurs en ligne est devenue le prétexte commode d’une classe politique incapable d’arbitrer entre intérêts contradictoires. On agite l’argument, on finance un projet, on coupe un ruban — et pendant ce temps les contenus problématiques restent accessibles à trois clics, sans vérification d’âge, sans friction, sans conséquence.

.

Conclusion — Le point de vue DeepDive

Une application contournée en deux minutes n’est pas un accident de parcours. C’est le symptôme d’une approche politique qui préfère les démonstrations aux résultats. Lancer un outil visible, open source, flanqué d’un discours sur la vie privée — c’est de la communication. Fermer les accès aux contenus illégaux en mobilisant les outils juridiques et techniques déjà disponibles, c’est de la gouvernance. Les deux ne se ressemblent pas.

André Gentit et les équipes de DeepDive le répètent à chaque formation sur la sécurité des systèmes IA : la robustesse d’un dispositif ne se mesure pas à la qualité de son communiqué de presse. Elle se mesure à ce qu’il résiste quand quelqu’un ouvre un éditeur de texte.

Si la vérification d’âge au niveau de l’OS devient le prochain horizon techno-politique, les mêmes questions se poseront avec les mêmes angles morts. Qui contrôle les données ? Que se passe-t-il pour les appareils hors écosystèmes certifiés ? Et surtout — les plateformes illégales, elles, vérifieront quoi exactement ?

La protection des mineurs en ligne mérite mieux que des effets d’annonce piratables en 120 secondes. Elle mérite des décisions.