Morgan Dutemple
← Retour au blog
Numérique

Vérification d'âge en Europe : le prototype d'une infrastructure de surveillance de masse ?

black android smartphone displaying qr code
Photo par Markus Winkler sur Unsplash
Morgan Dutemple
·Delivery Manager & Expert Transformation Digitale

Le dépôt s'appelle av-app-android-wallet-ui. Il appartient à l'organisation GitHub eu-digital-identity-wallet, la même qui héberge le code de l'EUDI Wallet, le futur portefeuille d'identité numérique européen. Ce n'est pas un détail technique : l'application de vérification d'âge qu'un chercheur contourne pour la troisième fois en trois mois n'est pas un projet à part, c'est le prototype grandeur nature d'une infrastructure bien plus vaste, qui doit devenir obligatoire dans toute l'Union d'ici la fin de l'année.

Ce que dit le dépôt GitHub lui-même

Le README du projet est étonnamment franc : il s'agit d'un "blueprint" en marque blanche, explicitement décrit comme non prêt pour la production, forcé d'être personnalisé par chaque État membre avant publication. Le dépôt technique associé (av-doc-technical-specification) le confirme dans son objectif affiché : combler l'attente jusqu'à ce que les EUDI Wallets deviennent disponibles fin 2026, pour ensuite intégrer directement la fonction de vérification d'âge dans ces portefeuilles.

Autrement dit, cette application n'est pas conçue comme un outil isolé pour protéger les mineurs de contenus pornographiques. C'est un composant partagé avec l'infrastructure d'identité numérique européenne dans son ensemble : même architecture de référence (l'Architecture Reference Framework), mêmes protocoles (OpenID4VCI, format mdoc), même organisation GitHub. La Commission européenne elle-même la surnomme le "mini wallet".

Une échéance qui ne laisse pas de place à l'erreur

Le règlement eIDAS 2.0, entré en vigueur en mai 2024, impose à chaque État membre de mettre à disposition un portefeuille d'identité numérique européen d'ici le 24 décembre 2026. D'ici fin 2027, les grandes plateformes et les entreprises soumises aux obligations anti-blanchiment devront l'accepter. Sept pays, dont la France, sont déjà identifiés comme pilotes pour l'appli de vérification d'âge, en attendant l'intégration complète. Le 13 juillet 2026, Ursula von der Leyen a annoncé vouloir réutiliser cette même infrastructure pour bloquer l'accès aux réseaux sociaux aux moins de 13 ans environ, avec une loi promise pour après l'été. Elle a explicitement comparé le projet au certificat COVID européen, qu'elle présente comme un succès à reproduire.

Le calendrier est serré, le périmètre s'élargit à mesure qu'on avance, et le socle technique sur lequel tout cela repose est celui qu'un chercheur indépendant continue de faire tomber avec une extension Chrome codée en quelques minutes.

Des failles qui ne sont pas des accidents de parcours

En avril 2026, Paul Moore contournait déjà l'application en moins de deux minutes : PIN réinitialisable en modifiant un fichier local, compteur de tentatives remis à zéro, authentification biométrique désactivable par un simple indicateur booléen, images faciales stockées en PNG non chiffré sur le disque. En juillet, il recommence à deux reprises, la dernière fois en portant toute la logique de l'application dans une extension de navigateur qui rejoue indéfiniment une même attestation "plus de 18 ans" falsifiée.

En parallèle, en mars 2026, une analyse de sécurité indépendante du code source révélait un défaut architectural plus profond : le composant émetteur n'a aucun moyen de vérifier que la lecture du passeport s'est réellement produite sur l'appareil de l'utilisateur. Corriger cette faille imposerait d'envoyer les données cryptographiques complètes du passeport au serveur, nom et numéro de document compris, ce qui viderait de son sens la promesse de confidentialité du système. Le chercheur en cryptographie Jaap-Henk Hoepman va plus loin : selon lui, l'architecture actuelle ne respecte tout simplement pas certaines exigences de vie privée du règlement eIDAS 2.0 qu'elle est censée appliquer, et le projet ne dispose d'aucun plan de contingence si le délai de décembre 2026 n'est pas tenu.

Ce ne sont pas des bugs ponctuels que des correctifs successifs viendront épuiser. Chaque contournement documente la même chose : un système qui repose sur la bonne foi du client plutôt que sur une preuve cryptographique réelle ne peut pas être sécurisé par petites retouches.

Ce que les associations de défense des droits numériques pointent depuis des mois

EDRi (European Digital Rights) et neuf autres organisations de la société civile ont interpellé la Commission européenne sur le wallet plus large : affaiblissement des garanties de non-traçabilité censées empêcher la surveillance des utilisateurs, ajout d'un traitement obligatoire de données biométriques faciales non prévu par le règlement eIDAS lui-même, interprétation restrictive des dispositions sur les pseudonymes qui les rend en pratique inutilisables, certificats d'enregistrement laissés facultatifs. Résultat : c'est à l'utilisateur de scruter chaque interaction pour vérifier qu'un service ne lui demande pas plus de données que nécessaire, un peu comme la fatigue du consentement aux cookies, sans jamais lui offrir de choix réel.

Dans un rapport plus large publié courant 2026, EDRi va jusqu'à qualifier l'ensemble des grands projets numériques européens en cours (le wallet d'identité, l'espace européen des données de santé, le passeport social européen) de choix politique visant à normaliser la surveillance et l'exclusion, plutôt que de simple modernisation technique. L'association s'inquiète en particulier de l'exclusion des personnes âgées, des migrants et des publics précaires à mesure que les services publics basculent par défaut vers le numérique.

Pourquoi le calendrier politique européen aggrave le problème

Cette infrastructure est conçue et déployée dans un contexte politique européen particulièrement instable. La Suède, la France, l'Espagne et la Pologne doivent tenir des élections nationales en 2026 et 2027, dont la présidentielle française de 2027 où le Rassemblement national arrive en tête des intentions de vote depuis la dissolution de 2024. La confiance envers les institutions établies s'érode dans plusieurs pays européens, ce qui alimente la progression de partis aux pratiques institutionnelles plus autoritaires. La Hongrie de Viktor Orbán a bien perdu le pouvoir en mars 2026 après quinze ans d'"illibéralisme démocratique" institutionnalisé, preuve que rien n'est joué d'avance dans un sens ou dans l'autre, mais cet exemple montre aussi à quel point une infrastructure de contrôle centralisée peut rester en place bien après le gouvernement qui l'a mise en place, et servir des objectifs très différents selon qui la tient.

C'est précisément le problème d'une identité numérique centralisée dont les garde-fous techniques (non-traçabilité, cryptographie zero-knowledge, cloisonnement des données) sont, comme on vient de le voir, soit non implémentés soit délibérément affaiblis dès la conception : une infrastructure construite aujourd'hui sous une configuration politique donnée n'appartient à personne en particulier, elle survit aux élections et peut être héritée par n'importe quel gouvernement futur, y compris un gouvernement moins attaché aux libertés individuelles que celui qui l'a conçue. Plus le périmètre s'élargit (porno aujourd'hui, réseaux sociaux demain, identité générale ensuite), plus l'enjeu d'avoir une architecture réellement inviolable dès le départ devient critique, pas moins.

Le VPN et le chiffrement, prochaines cibles de la même logique

Cette appli de vérification d'âge n'est pas un projet isolé, elle s'inscrit dans une séquence cohérente. En France, à peine la loi interdisant les réseaux sociaux aux moins de 15 ans votée fin janvier 2026, la ministre du Numérique Anne Le Hénanff annonçait que les VPN étaient "le prochain sujet" sur sa liste, officiellement pour empêcher les mineurs de contourner la vérification d'âge. En mai 2026, la vice-présidente de la Commission européenne Henna Virkkunen qualifiait à son tour les VPN de "services à haut risque" dans ce même contexte. Aucun texte de loi n'est à ce jour sur la table, mais la stratégie ProtectEU présentée par la Commission dès avril 2025 posait déjà les outils d'anonymisation et la messagerie chiffrée comme des obstacles aux enquêtes pénales, un cadrage qui prépare le terrain à une régulation future plutôt qu'il ne l'exclut.

Le même mois que ces déclarations sur les VPN, le Parlement européen adoptait un texte Chat Control qui, même en excluant pour l'instant les messageries chiffrées de bout en bout, laisse ouverte la voie à un scanning côté client dans une version ultérieure. Plus de 700 chercheurs en cryptographie et sécurité ont averti que cette technique casserait de fait les garanties du chiffrement, même sur des applications qui continueraient à s'afficher comme "chiffrées". Un mois plus tôt, plus de 400 chercheurs en sécurité et vie privée avaient déjà écrit à la Commission pour demander un moratoire sur le déploiement de l'appli de vérification d'âge, le temps que la science sur ces technologies se stabilise. Cette lettre n'a changé ni le calendrier ni la trajectoire du projet.

Le schéma qui se dessine est donc toujours le même : un dispositif de contrôle est annoncé pour un motif consensuel (protéger les mineurs, lutter contre la criminalité), les spécialistes documentent en détail pourquoi l'architecture technique choisie ne peut pas tenir ses promesses de sécurité ou de vie privée, et le calendrier politique avance quand même, sans intégrer ces alertes autrement que par des correctifs cosmétiques. Le Conseil d'État français lui-même a jugé "disproportionnée" l'interdiction générale des réseaux sociaux au regard du droit européen, sans que cela ne ralentisse le texte. C'est cette récurrence, plus que chaque dossier pris isolément, qui devrait inquiéter : vérification d'âge, VPN, chiffrement des messageries, chacun de ces chantiers est traité comme un sujet technique séparé, alors qu'ils convergent tous vers la même extension progressive du contrôle numérique de l'État sur les usages individuels, avec la même méthode : annoncer, ignorer les objections techniques, avancer.

Ce qu'il faudrait, et qui n'existe toujours pas

La cryptographie zero-knowledge capable de prouver un attribut (être majeur) sans jamais révéler l'identité sous-jacente figure déjà dans les spécifications techniques du projet. Elle n'est simplement pas câblée dans la version actuelle. Une attestation matérielle sérieuse, à la Play Integrity, réglerait le problème de rejeu mais exclurait de facto les utilisateurs de GrapheneOS ou de Linux, une contrepartie qu'il faudrait assumer publiquement plutôt que d'esquiver. Un audit de sécurité indépendant et une cartographie claire des responsabilités en cas de fuite devraient être publiés avant, et non après, que le dispositif devienne obligatoire pour 450 millions d'Européens.

Aucun de ces trois chantiers n'est aujourd'hui bouclé, alors que l'échéance de décembre 2026 approche et que le périmètre d'usage s'élargit déjà par annonce politique avant même que l'architecture ne soit stabilisée. Sur les enjeux de conception technique imposée par règlement plutôt que par les faits, voir aussi mon article sur Chat Control, un autre cas où une promesse de protection technique s'est avérée bien plus fragile que ce que le texte législatif laissait entendre.

Sources : GitHub eu-digital-identity-wallet, Cybernews, Reclaim The Net, EDRi, Cybernews – EDRi, L'Éclaireur (Jaap-Henk Hoepman), VPN Picker, FranceSoir, Les Surligneurs.

Questions fréquentes

L'application de vérification d'âge et l'EUDI Wallet, c'est la même chose ?

Non, ce sont deux projets distincts mais techniquement liés : la première est un "mini wallet" bâti sur la même architecture de référence que le second, explicitement conçue pour lui être intégrée une fois disponible fin 2026.

Ces failles ont-elles été corrigées ?

Chaque contournement rendu public a donné lieu à un correctif ciblé, mais plusieurs analystes, dont le cryptographe Jaap-Henk Hoepman, estiment que le problème est architectural : tant que la cryptographie zero-knowledge prévue dans la spécification n'est pas réellement implémentée, de nouveaux contournements resteront possibles.

En quoi le contexte politique européen change-t-il l'analyse ?

Une infrastructure d'identité centralisée survit aux alternances politiques. Des élections dans plusieurs grands pays européens en 2026-2027, dans un climat de défiance institutionnelle croissante, rendent d'autant plus important que ses garde-fous techniques soient solides dès la conception, indépendamment de qui gouvernera demain.

Morgan Dutemple

À propos de l'auteur

Morgan Dutemple

Delivery Manager à Rennes. Je pilote des projets de transformation digitale, SEO/GEO et accessibilité RGAA pour des clients grands comptes. Ce blog est le reflet de ce que je rencontre sur le terrain.