La vérification d’âge de l’UE mise à mal par un hack en 48 heures
En milieu de semaine, l’Union Européenne a annoncé la mise en place de sa nouvelle application de vérification d’âge en ligne. Destinée à établir une identité fiable pour l’accès aux services numériques et à unifier le contrôle des mineurs, cette application a été rapidement compromise en moins de 48 heures. Mais l’exploit mérite d’être nuancé.
Que s’est-il passé ?
Le consultant en cybersécurité Paul Moore a mis en lumière les failles de l’application. L’application exige des utilisateurs qu’ils créent un code PIN de quatre à six chiffres pour sécuriser leur identité, un mécanisme que l’on pourrait penser protégé. Toutefois, Moore a découvert que, dans la version testée, il est possible de supprimer le code PIN crypté du fichier pour accéder au profil configuré, simplement en supprimant une ligne de code.
Les failles de sécurité
Alors que l’UE affirmait que l’application était prête, le code PIN n’est pas réellement chiffré. De plus, il n’y a aucun lien entre les identifiants et un code PIN spécifique, permettant ainsi un accès non autorisé aux données en cas de tentative de modification. Actuellement, l’application confie trop d’informations à un fichier facilement modifiable. Cela donne un accès facile à un attaquant souhaitant contourner les dispositifs de sécurité de l’application.
Pourquoi ce hack est problématique
Ursula von der Leyen, présidente de la Commission Européenne, a déclaré que l’application était “techniquement prête”, tout en faisant sa promotion lors d’une conférence de presse, peu de temps avant que cette défaillance ne soit révélée. Cela soulève des questions importantes sur les procédures de contrôle de qualité de l’UE et la fiabilité des solutions mises à disposition des mineurs.
Un prototype en phase de test
Il est essentiel de préciser que la version utilisée par Moore n’est pas la version finale, mais une version de démonstration dépourvue des mesures de sécurité nécessaires. Ces erreurs structurelles auraient dû être éliminées avant même la sortie d’une version initiale à tester.
Pourquoi cette application est-elle importante ?
Bien que cette application soit encore en phase de pré-production, le hack met en lumière le fonctionnement possible et les limitations de sécurité qu’elle pourrait présenter. Ce n’est pas la première fois qu’une application de l’UE ou un service public espagnol rencontre d’importants problèmes de sécurité. En janvier, la Commission Européenne a détecté une compromission de sa plateforme de gestion des dispositifs mobiles, stockant des données sensibles.
Ce que nous apprend cette version préliminaire
La version initiale de l’application est simple : après avoir entré le code PIN, l’utilisateur dispose de trois méthodes de vérification.
- À l’aide de la carte d’identité
- Avec un passeport
- Via un code QR
L’application se compose de quatre sections : accueil, consentement, sécurité (PIN) et vérification. Les développeurs d’applications seront responsables de l’intégration de cette solution européenne dans leurs propres applications. Cependant, malgré le discours enthousiaste de Von der Leyen, aucune date de lancement précise n’est encore disponible.