Les pirates n'ont mis que deux minutes à pirater complètement l'application européenne de vérification de l'âge, laissant le système de sécurité inefficace

Une application européenne de vérification de l’âge a suscité la controverse après que des experts en cybersécurité ont découvert plusieurs vulnérabilités. Le système, qui prétendait être « techniquement complet » et répondre aux « normes de confidentialité les plus élevées », a été piraté en moins de deux minutes. Le consultant en sécurité Paul Moore a été le premier à souligner la vulnérabilité. Après avoir étudié le code open source de l'application, il a montré dans une vidéo comment contourner la protection.

La principale vulnérabilité réside dans le fait que le code PIN crypté n'est stocké que localement sur l'appareil et n'est pas lié de manière fiable à la zone de stockage d'identité. Un attaquant peut simplement supprimer quelques fichiers de service système pour réinitialiser les anciens codes PIN, définir de nouveaux mots de passe et obtenir un accès complet aux données d'identité précédemment authentifiées. De plus, des paramètres ont été trouvés dans le fichier de configuration qui permettent de désactiver l'authentification biométrique (en changeant la valeur du paramètre de « vrai » à « faux ») et de réinitialiser le nombre de tentatives de saisie du code PIN. Moore a noté que ces opérations ne nécessitent aucun outil complexe et peuvent être réalisées en quelques minutes.

Ce qui est vraiment choquant, c'est que l'application stocke des données biométriques « brutes » et des photos de selfie sous une forme non cryptée sur l'appareil de l'utilisateur. Contrairement aux déclarations de la Commission européenne concernant la confidentialité et l'anonymat du processus, ces fichiers n'ont jamais été automatiquement supprimés par le système. Il a ensuite été confirmé que le problème mentionné ci-dessus n'apparaissait pas dans l'échantillon de test, mais existait dans la version finale du logiciel disponible en téléchargement.

Commentant la situation, la Commission européenne a reconnu des lacunes mais a rejeté les accusations d'incompétence. Les représentants officiels ont déclaré que l'application était encore en phase de perfectionnement et que la version actuelle n'était pas destinée à un déploiement réel. Ils promettent que toutes les vulnérabilités découvertes seront corrigées dans un avenir proche et que la version finale du produit sera publiée à une date ultérieure.