 Samedi Sécurité : l'App mobile Européenne de vérification d'âge n'est pas encore prête, Réactions à la publication du 19/04/2026 |
 |
Bienvenue invité ( Connexion | Inscription )
 19 Apr 2026, 12:25
Message
#1
|
|
 Macbidouilleur d'Or !  Groupe : Rédacteurs Messages : 2 773 Inscrit : 19 Nov 2020 Lieu : Montréal Membre no 212 895  |
Une version de l'App mobile Européenne de vérification d'âge a été proposée et son code-source partagé sur GitHub (Android et iOS).
Cette App effectue une vérification de l'identité légale, mais ne devrait en sortie que proposer des informations (ou des réponses) sur des tranches d'âges, comme 10-13ans, 18ans et plus, etc. Protégeant ainsi l'identité des personnes tout en fournissant une information de tranche d'âge certaine et auditable. Cette version avait été présentée par Mme von der Leyen comme "techniquement prête" et "respectant les plus hauts standards de sécurité au monde". Ça n'est pas le cas, pas encore tout au moins. Le porte-parole de la Commission Européenne parle maintenant de version de "démo". Politico démonte cela. Il y a des tonnes de failles de sécurité, diverses et variées : si cette App donne l'apparence de fonctionner, en revanche c'est une faille ambulante au point où elle en est ! Paul Moore a dépiauté le code et pondu un avis très détaillé sur Twitter/X, ainsi que différentes façons de contourner l'authentification intégrée à cette App. Comme le code est sur GitHub, outre de nombreuses PR très drôles comme celle-ci, la communauté propose déjà divers renforcements de la sécurité tel cet exemple, que les développeurs pourront intégrer directement ! Donc une App pas prête, qu'on pourrait appeler une démo, et qui pourrait être finalisée dès la semaine prochaine avec le concours de la communauté open-source ! C'est un raté, mais ça arrive, une fois la version finale délivrée on pourra alors avoir d'intéressantes discussions sur sa sécurité, puisque destinée à terme à être utilisée par presque tous les adultes en UE ! Par les ados et pré-ados aussi ! Lien vers le billet original -------------------- "Where are we now" - Bowie
|
 |
 
|
 |
Réponse(s)
(1 - 8)
|
19 Apr 2026, 13:00
Message
#2
|
|
 Macbidouilleur de vermeil ! Groupe : Membres Messages : 886 Inscrit : 31 Jul 2002 Lieu : Strasbourg (67) Membre no 3 058 |
Il serait temps que la commission recrute ses "experts" auprès d'écoles d'informatique (par exemple l'école 42) plutôt que dans les grands écoles administratives (comme l'ENA) ...
-------------------- MacBook Air 15" M2 2023 (adopté par madame) - MacBook Pro 16" M3 Pro 2023 - Mac mini M4 Pro 2024
tous membres actifs du World Community Grid et d'autres projets BOINC (lorsqu'il ne fait rien, un cpu s'ennuie !) iPod classic (qui passe sa vie dans la boîte à gants de la voiture) - iPad mini (le seul format qui rentre dans tous les sacs à main de madame) - iPhone(s) (plus quelques machines "Obsolètes" dont je ne veux pas me séparer et qui fonctionnent encore : Mac mini G4, MacBook Pro 2006, Mac mini 2009, Mac Pro V12 2010 + Quadro 4000, MacBook Pro 13" 2012, Mac Mini 2012, MacBook Pro Retina 15" 2014) ... Et si dieu me prête vie (à un taux acceptable, comme dirait Popeck) le prochain sera un Mac Studio M5 Max. |
|
|
|
|
19 Apr 2026, 13:52
Message
#3
|
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 2 773 Inscrit : 19 Nov 2020 Lieu : Montréal Membre no 212 895 |
Il y a eu un appel d'offre de 4 millions d'Eugros, remporté par Deutsche Telekom (Allemand) et Scytáles (Suédois), le second se décrivant comme un "spécialiste de l'identification".
Le code qui a été mis en ligne ne correspond en rien aux standards de sécurité attendus, encore moins si on intègre l'accès à des informations biométriques et des images de papiers d'identité, et cerise sur le gateau aussi pour des ados et pré-ados ! C'est comme si aucun spécialiste de la sécurité n'avait travaillé dessus, audité en interne ou externe, et que les développeurs n'aient eu aucune formation sur ce sujet. Comme le rapporte Paul Moore, ça contrevient même au DGPR/RGPD Européen ... Du travail va être fait, la communauté open-source apporte son aide, c'est gratuit et bienvenu ! Pour ma part, je pense que la sécurité, le modèle de menaces (threat model), le cadre de sécurité (security framework) et tout le binze doit être défini dès l'origine d'un tel projet, et architecturé autour de la sécurité et non celle-ci être amenée après : sécuriser du code tel que celui-ci va être un énorme travail de réfaction (refactoring). Et faute de définition en amont des types de menaces, des risques, etc. le but est très flou, même inexistant. Rien n'est cadré !!! Une fois ce code sécurisé, et j'ai grand espoir qu'il le soit au moins en partie, il y aura effectivement d'autres discussions à avoir, suivant l'implémentation de l'authentification des personnes, des adultes, des ados et des pré-ados... Les détails ne sont pas connus encore, juste les grandes lignes. Et je pense que tant les fournisseurs de services de VPN, que les développeurs de GrapheneOS et certaines distros Linux se frottent les mains  Ou alors il faudra rendre illégaux les VPN et les OS open-source, modifiables par soi-même et compilables ou recompilables localement !!! Les gamins ne sont pas des imbéciles, leurs cerveaux sont des éponges, ils sont incroyablement efficaces, incroyablement groupés aussi : un qui trouve, les autres suivent. D'où le célèbre Meme qui décrit que si tu as oublié ton code parental pour ta télécommande, ton gamin, lui, le connaît ... systemd utilisé par beaucoup de distros Linux a intégré une "vérification d'âge" basée sur la déclaration (pas de papiers d'identité, pas de biométrie, pas de vérification réelle), et il a déjà été forké pour enlever tout cela via liberated-systemd. Le dev qui a ajouté la vérification d'âge dans systemd contribue aussi à liberated-systemd, il est neutre, agnostique : les deux ont leur raison d'exister ! Excellente position, de ne pas prendre parti, de participer activement pour ceux qui veulent ou simplement acceptent, mais aussi pour ceux qui refusent et rejettent. -------------------- "Where are we now" - Bowie
|
|
|
|
|
20 Apr 2026, 14:04
Message
#4
|
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 674 Inscrit : 23 Jul 2003 Membre no 8 733 |
|
|
|
|
|
20 Apr 2026, 16:39
Message
#5
|
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 2 773 Inscrit : 19 Nov 2020 Lieu : Montréal Membre no 212 895 |
Encore ! C'est sans fin ...
-------------------- "Where are we now" - Bowie
|
|
|
|
|
20 Apr 2026, 18:40
Message
#6
|
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 674 Inscrit : 23 Jul 2003 Membre no 8 733 |
Surtout si ce qui est dit dans l’article est vrai (passer des id en clair dans l’api) ce n’est pas du piratage mais une énorme faute professionnelle
|
|
|
|
|
26 Apr 2026, 13:23
Message
#7
|
|
|
Adepte de Macbidouille Groupe : Membres Messages : 85 Inscrit : 25 May 2019 Lieu : Eridanus Membre no 208 144 |
Suite du feuilleton...
La grosse Commission a publié un bugfix le 15/4 ici : https://ageverification.dev/releases/#ios-wallet-ui que Paul Moore, après analyse, a qualifié de vaste blague (plus précisément, "Honnêtement , je ne sais pas s'il faut en rire ou pleurer") https://twitter-thread.com/t/2047043703173513635 Mes compétences en informatique sont très limitées... -------------------- - MacBook Pro 13" (mid 2012) - OCLP - Ventura
|
|
|
|
|
26 Apr 2026, 14:46
Message
#8
|
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 585 Inscrit : 12 Jun 2005 Membre no 40 785 |
Bon j ai regardé rapidement sur l application Arte...oui certains programmes demandent de s'authentifier comme adultes pour les regarder en journée...ils utilisent pour ça l'application Yoyi :
J ai demandé des informations à Gemini sur Yoti, il faut quand même avoir confiance puisque la solution ne tourne pas en local...bref je vais attendre encore un peu Yoti est l'un des services d'identité numérique les plus réputés pour sa sécurité, mais son actualité en **2026** montre que même les systèmes les plus robustes font face à des défis juridiques et techniques importants. Voici un bilan de ce qu'il vaut pour votre confidentialité, entre ses garanties technologiques et ses récentes controverses. ### 1. Les Garanties : "Privacy by Design" Yoti repose sur un modèle technique où l'entreprise **ne peut pas voir vos données**. * **Chiffrement asymétrique :** Lorsque vous créez votre identité, vos données sont découpées en attributs séparés (nom, date de naissance, etc.). La "clé" pour réassembler ces informations se trouve sur **votre téléphone**, pas sur leurs serveurs. * **Zéro partage sans consentement :** Vous choisissez exactement quel attribut partager (ex: "J'ai plus de 18 ans" sans donner votre date de naissance exacte). * **Suppression immédiate :** Pour l'estimation d'âge par selfie (utilisée par Instagram ou les sites de jeux), Yoti affirme supprimer l'image immédiatement après l'analyse des pixels. ### 2. Les Alertes de 2026 : Le cas de l'Espagne Malgré ces promesses, Yoti a été au cœur d'une polémique majeure en **mars 2026** : * **Amende de l'AEPD (Espagne) :** L'agence espagnole de protection des données a sanctionné Yoti pour des manquements au **RGPD**. * **Les reproches :** L'agence a jugé que le traitement des données biométriques (extraites des selfies pour comparaison avec les documents d'identité) présentait des risques de stockage excessif et que les mécanismes de consentement (notamment les cases pré-cochées) n'étaient pas assez clairs. * **Position de Yoti :** L'entreprise a fait appel devant la Haute Cour espagnole, affirmant qu'aucune donnée n'a été compromise et que l'agence a mal compris le fonctionnement technique de son application. ### 3. Faut-il leur faire confiance ? Si l'on compare Yoti aux méthodes traditionnelles (envoyer une photo de son passeport par email), il reste **infiniment plus sûr**. | Avantages | Risques / Inconvénients | |---|---| | **Certifications :** Audité SOC2 Type 2 et ISO 27001. | **Biométrie :** La collecte de données faciales est permanente ; en cas de faille, on ne peut pas changer de visage comme on change de mot de passe. | | **Modèle économique :** Ils ne vendent pas vos données (ils facturent les entreprises qui vérifient votre identité). | **Dépendance :** Si vous perdez l'accès à votre téléphone et votre clé de secours, la récupération est complexe. | | **Minimisation :** Ne partage que le strict nécessaire. | **Surveillance :** Les autorités européennes (en 2026) surveillent de très près la "biométrisation" de l'accès au web. | ### Conclusion Yoti est un **excellent coffre-fort numérique**, techniquement très en avance sur ses concurrents. Cependant, la sanction espagnole de 2026 rappelle que la gestion des données biométriques reste une zone sensible. Si vous êtes soucieux de votre vie privée, Yoti est une alternative solide pour éviter de disperser des copies de vos documents d'identité partout sur le web. |
|
|
|
|
26 Apr 2026, 20:50
Message
#9
|
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 2 773 Inscrit : 19 Nov 2020 Lieu : Montréal Membre no 212 895 |
Le PIN ne doit par définition pas être hashé : il a trop peu de combinaisons par lui-même.
Et le "sel" n'y change absolument rien ... Il faut augmenter le nombre de combinaisons en y ajoutant des bits aléatoires, pour après le chiffrer pour le stocker (plus d'attaque par force-brute), et pour comparer le déchiffrer temporairement (avec sa payload aléatoire) et comparer les PINS, puis effacer la mémoire de manière sécuritaire. Un PIN n'a pas assez de combinaisons pour être hashé !!! -------------------- "Where are we now" - Bowie
|
|
|
|
 |
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
| Nous sommes le : 30th April 2026 - 09:47 |