Ce qu'il faut retenir.
- Le chercheur en sécurité Paul Moore a forgé une fausse preuve d'âge directement depuis une extension Chrome et l'a fait valider par le vérificateur officiel du système européen de référence, sans aucune vérification d'identité réelle.
- Le système repose sur une clé cryptographique logicielle P-256 non protégée par une puce matérielle sécurisée, sans reconnaissance faciale ni attestation d'intégrité de l'appareil, et la même preuve peut être rejouée plusieurs fois.
- Selon Moore, aucun correctif logiciel ne peut réparer cette faille architecturale : la Commission européenne évoque deux pistes, l'attestation matérielle type Play Integrity ou la cryptographie à divulgation nulle de connaissance, prévue dans la spécification mais non activée dans cette version.
Résumé généré par IA
Le 13 juillet 2026, alors que la présidente de la Commission européenne Ursula von der Leyen annonçait vouloir étendre le système européen de vérification d'âge aux réseaux sociaux, le chercheur en sécurité Paul Moore démontrait qu'une simple extension Chrome suffisait à le tromper intégralement. Sa fausse preuve d'âge, fabriquée de toutes pièces, a été validée sans réserve par le vérificateur officiel de la démonstration, comme si elle provenait d'un utilisateur réel majeur.
Le principe, en théorie : prouver son âge sans révéler son identité
Pour ceux qui découvrent le sujet, un bref rappel de contexte s'impose. L'application en question est le modèle de référence de la Commission européenne pour prouver qu'un internaute a plus de 18 ans sans révéler son identité. Développée par un consortium germano-suédois, elle est actuellement testée dans cinq pays dont la France, et cible en priorité le contenu pour adultes et les jeux d'argent en ligne. Von der Leyen souhaite désormais réutiliser cette même infrastructure pour empêcher les moins de 13 ans d'accéder aux réseaux sociaux, avec une loi attendue après l'été.
Le principe théorique est solide : une application installée sur le téléphone détient une preuve cryptographique d'âge et la présente à un site ou une plateforme, sans jamais transmettre la carte d'identité ni la date de naissance exacte. C'est exactement le type d'architecture à divulgation minimale que recommandent les experts en protection des données.
Ce que Paul Moore a démontré
Sauf que dans les faits, cette théorie s'effondre. Paul Moore a simplement fabriqué la preuve directement depuis une extension Chrome, sans passer par l'application officielle, puis l'a soumise au vérificateur de référence. Celui-ci l'a acceptée sans broncher. La raison est limpide une fois qu'on regarde sous le capot : la preuve repose sur une clé cryptographique logicielle P-256, qui n'est protégée par aucune puce matérielle sécurisée du téléphone. Il n'y a ni reconnaissance faciale, ni attestation d'intégrité de l'appareil façon Play Integrity. Pire encore, une même preuve peut être rejouée plusieurs fois de suite sans être invalidée.
Moore a d'ailleurs précisé avoir codé son démonstrateur avec l'aide d'une IA en quelques minutes seulement, ce qui donne une idée du niveau de compétence réellement nécessaire pour reproduire l'attaque. Selon lui, aucun correctif logiciel ne peut résoudre ce problème, parce que la faille n'est pas un bug ponctuel mais un défaut d'architecture. Tant que la preuve d'âge reste à cent pour cent sous le contrôle du client, n'importe qui peut détourner l'application officielle ou en forger une nouvelle pour se faire passer pour un adulte.
Pourquoi aucun patch ne réglera le problème
Cette histoire illustre un principe de sécurité vieux comme l'informatique : on ne peut pas faire confiance à une donnée produite par un logiciel que l'utilisateur contrôle entièrement, sans ancrage matériel ni protocole cryptographique qui empêche la rejouabilité. C'est exactement le même raisonnement qui a poussé l'industrie à abandonner les vérifications de licence purement logicielles au profit d'éléments sécurisés, ou qui impose des attestations matérielles aux terminaux de paiement. Un client qui s'auto-certifie n'est jamais une frontière de sécurité, tout au plus un signal d'interface.
Pour combler ce trou, la Commission européenne évoque deux pistes distinctes. La première consiste à passer par une attestation matérielle en béton, du même type que Play Integrity chez Google, qui garantit que l'appareil tourne sur un système d'exploitation certifié et non modifié. Le revers de la médaille, c'est que cette approche exclut de fait les utilisateurs de systèmes alternatifs comme GrapheneOS ou Linux, qui ne peuvent pas produire ce type d'attestation. La seconde piste, plus ambitieuse, consiste à activer une véritable cryptographie à divulgation nulle de connaissance, déjà prévue dans la spécification technique mais non branchée dans cette version de démonstration. Ce mécanisme permettrait de prouver un fait, être majeur, sans exposer aucune autre information, tout en empêchant le rejeu d'une preuve grâce à un défi cryptographique unique à chaque vérification.
Ce que ça implique pour les sites et plateformes françaises
Pour les entreprises françaises concernées, contenus pour adultes, jeux d'argent, et demain potentiellement les réseaux sociaux, la leçon pratique est claire. Le dépôt officiel de cette application précise lui-même qu'il s'agit d'une implémentation de référence, pas d'un système prêt pour la production. Si votre activité est soumise à une obligation de vérification d'âge, il ne faut surtout pas construire votre propre système de preuve maison en s'appuyant sur une simple clé logicielle.
La France dispose déjà d'un modèle éprouvé sur ce terrain : le principe du double anonymat, où un tiers de confiance certifie l'âge sans jamais transmettre l'identité au site visité, ni l'historique de navigation à l'organisme de vérification. C'est ce modèle que les éditeurs de contenus soumis à obligation d'âge doivent privilégier, en s'appuyant sur un prestataire certifié plutôt qu'en réinventant leur propre cryptographie.
Autre point pratique pour les équipes techniques qui anticipent la future loi sur les réseaux sociaux : concevez vos intégrations de manière modulaire. Le standard européen va évoluer, probablement vers l'attestation matérielle ou la divulgation nulle de connaissance, et un système d'âge câblé en dur sur la version de démonstration actuelle devra être entièrement revu dès que ces briques seront activées.
Notre lecture chez CZSyn
Cette mésaventure ne surprendra aucun ingénieur sécurité sérieux. Un modèle de confiance entièrement piloté par le client finit toujours par céder, c'est une question de temps plus que de probabilité. L'objectif européen, prouver un fait sans exposer une identité, reste un principe de conception sain et aligné avec l'esprit du RGPD. Mais publier une implémentation de référence explicitement marquée comme non destinée à la production, tout en annonçant dans le même mois vouloir l'étendre au contrôle d'accès des réseaux sociaux pour les mineurs de 13 ans, crée un écart dangereux entre le calendrier politique et la maturité technique réelle du système.
Pour nos clients qui développent ou intègrent des fonctionnalités soumises à contrôle d'âge, la règle que nous appliquons est simple : une attestation déclarée par le client ne doit jamais faire office de frontière de sécurité. Elle peut orienter une expérience utilisateur, jamais garantir une conformité légale. La vraie frontière se construit soit avec un ancrage matériel audité, soit avec un tiers de confiance certifié, soit avec une preuve cryptographique qui résiste au rejeu. Tout le reste n'est qu'une case à cocher qui rassure sur le papier.
Vos systèmes de contrôle d'accès résisteraient-ils au même test ?
CZSyn audite vos mécanismes d'authentification, de vérification d'âge et de conformité, et vous aide à choisir une architecture réellement robuste. Audit gratuit sous 24h.
06 64 81 45 03ou programmez votre appel · devis gratuit en ligne
29 avis 5/5 · +200 projets livrés · réponse express
Sources primaires
- Dépôt officiel du consortium EU Digital Identity Wallet sur GitHub, github.com/eu-digital-identity-wallet, implémentation de référence du système européen de vérification d'âge.
- Commission européenne, stratégie numérique officielle, digital-strategy.ec.europa.eu.
