Le service de recherche du Parlement européen (EPRS) a récemment averti que les réseaux privés virtuels (VPN) sont de plus en plus utilisés pour contourner les systèmes de vérification de l'âge en ligne, décrivant cette tendance comme une « lacune dans la législation qui doit être comblée ». Cet avertissement intervient alors que les gouvernements en Europe et ailleurs continuent d'étendre les règles de sécurité des enfants en ligne, exigeant que les plateformes vérifient l'âge d'un utilisateur avant de lui accorder l'accès à du contenu réservé aux adultes ou à une limite d'âge.
Un VPN est un outil de confidentialité conçu pour crypter le trafic Internet et masquer l'adresse IP de l'utilisateur en acheminant la connexion via un serveur distant. Alors que les VPN sont largement utilisés à des fins légitimes, comme protéger les communications, éviter la surveillance et permettre un travail à distance sécurisé, les régulateurs s'inquiètent de plus en plus du fait que la technologie permet également aux mineurs de contourner les contrôles d'âge régionaux. Le service de recherche du Parlement européen note que l'utilisation des VPN a augmenté après que des pays, dont le Royaume-Uni et plusieurs États américains, aient mis en œuvre des lois obligatoires sur la vérification de l'âge. Au Royaume-Uni, les services en ligne sont désormais tenus d'empêcher les enfants d'accéder à des contenus préjudiciables, et les applications VPN auraient dominé les classements de téléchargement après l'entrée en vigueur de la loi.
Le document définit clairement les VPN comme un vide réglementaire, notant que certains décideurs politiques et défenseurs de la sécurité des enfants estiment que l'accès VPN lui-même devrait nécessiter une vérification de l'âge. Le commissaire anglais à l'enfance a également demandé que les services VPN soient réservés aux adultes uniquement. Cependant, obliger les utilisateurs à vérifier leur identité avant d’accéder à un service VPN pourrait sérieusement affaiblir les protections contre l’anonymat et créer de nouveaux risques en termes de surveillance et de collecte de données. Les fournisseurs de VPN et d’autres défenseurs de la vie privée ont exprimé leur opposition à cette approche dans une lettre adressée aux décideurs politiques britanniques.
Le mois dernier, des chercheurs ont découvert plusieurs vulnérabilités en matière de sécurité et de confidentialité dans l'application officielle de vérification de l'âge de la Commission européenne, peu après sa sortie. L'application, qui a été présentée comme un outil de confidentialité en vertu de la loi sur les services numériques (DSA), s'est avérée stocker des images biométriques sensibles dans un emplacement non crypté, révélant des faiblesses qui pourraient permettre aux utilisateurs de contourner complètement les contrôles de vérification.
Le document du service de recherche du Parlement européen reconnaît que la vérification de l’âge reste techniquement difficile et fragmentée dans l’ensemble de l’UE. Les systèmes actuels basés sur l’auto-déclaration, l’estimation de l’âge ou la vérification de l’identité ont été décrits comme relativement faciles à contourner par les mineurs. Le rapport met en lumière les méthodes émergentes, telles que le système de vérification « en double aveugle » utilisé en France, dans lequel les sites Web reçoivent uniquement la confirmation qu'un utilisateur répond aux exigences d'âge sans connaître son identité, tandis que le fournisseur de vérification ne peut pas voir quels sites Web l'utilisateur a visités.
Dans le même temps, les régulateurs commencent à aborder l’utilisation des VPN directement dans la législation. L'Utah est récemment devenu le premier État des États-Unis à adopter une loi ciblant spécifiquement l'utilisation des VPN pour la vérification de l'âge en ligne. Le projet de loi SB 73 de l'État définit l'emplacement de l'utilisateur en fonction de sa présence physique plutôt que de son adresse IP apparente, même si un VPN ou un service proxy est utilisé pour masquer l'emplacement.
Les fournisseurs de VPN seront probablement confrontés à une surveillance accrue à mesure que l'UE révisera la législation sur la cybersécurité et la sécurité en ligne, a déclaré le service de recherche du Parlement européen. L'agence a noté que les futures mises à jour de la loi européenne sur la cybersécurité pourraient introduire des exigences en matière de sécurité des enfants destinées à empêcher l'utilisation abusive des VPN pour contourner les protections juridiques.