 Samedi Sécurité : l'App mobile Européenne de vérification d'âge n'est pas encore prête, Réactions à la publication du 19/04/2026 |
 |
Bienvenue invité ( Connexion | Inscription )
 19 Apr 2026, 12:25
Message
#1
|
|
 Macbidouilleur d'Or !  Groupe : Rédacteurs Messages : 2 773 Inscrit : 19 Nov 2020 Lieu : Montréal Membre no 212 895  |
Une version de l'App mobile Européenne de vérification d'âge a été proposée et son code-source partagé sur GitHub (Android et iOS).
Cette App effectue une vérification de l'identité légale, mais ne devrait en sortie que proposer des informations (ou des réponses) sur des tranches d'âges, comme 10-13ans, 18ans et plus, etc. Protégeant ainsi l'identité des personnes tout en fournissant une information de tranche d'âge certaine et auditable. Cette version avait été présentée par Mme von der Leyen comme "techniquement prête" et "respectant les plus hauts standards de sécurité au monde". Ça n'est pas le cas, pas encore tout au moins. Le porte-parole de la Commission Européenne parle maintenant de version de "démo". Politico démonte cela. Il y a des tonnes de failles de sécurité, diverses et variées : si cette App donne l'apparence de fonctionner, en revanche c'est une faille ambulante au point où elle en est ! Paul Moore a dépiauté le code et pondu un avis très détaillé sur Twitter/X, ainsi que différentes façons de contourner l'authentification intégrée à cette App. Comme le code est sur GitHub, outre de nombreuses PR très drôles comme celle-ci, la communauté propose déjà divers renforcements de la sécurité tel cet exemple, que les développeurs pourront intégrer directement ! Donc une App pas prête, qu'on pourrait appeler une démo, et qui pourrait être finalisée dès la semaine prochaine avec le concours de la communauté open-source ! C'est un raté, mais ça arrive, une fois la version finale délivrée on pourra alors avoir d'intéressantes discussions sur sa sécurité, puisque destinée à terme à être utilisée par presque tous les adultes en UE ! Par les ados et pré-ados aussi ! Lien vers le billet original -------------------- "Where are we now" - Bowie
|
 |
 
|
 |
Réponse(s)
|
19 Apr 2026, 13:52
Message
#2
|
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 2 773 Inscrit : 19 Nov 2020 Lieu : Montréal Membre no 212 895 |
Il y a eu un appel d'offre de 4 millions d'Eugros, remporté par Deutsche Telekom (Allemand) et Scytáles (Suédois), le second se décrivant comme un "spécialiste de l'identification".
Le code qui a été mis en ligne ne correspond en rien aux standards de sécurité attendus, encore moins si on intègre l'accès à des informations biométriques et des images de papiers d'identité, et cerise sur le gateau aussi pour des ados et pré-ados ! C'est comme si aucun spécialiste de la sécurité n'avait travaillé dessus, audité en interne ou externe, et que les développeurs n'aient eu aucune formation sur ce sujet. Comme le rapporte Paul Moore, ça contrevient même au DGPR/RGPD Européen ... Du travail va être fait, la communauté open-source apporte son aide, c'est gratuit et bienvenu ! Pour ma part, je pense que la sécurité, le modèle de menaces (threat model), le cadre de sécurité (security framework) et tout le binze doit être défini dès l'origine d'un tel projet, et architecturé autour de la sécurité et non celle-ci être amenée après : sécuriser du code tel que celui-ci va être un énorme travail de réfaction (refactoring). Et faute de définition en amont des types de menaces, des risques, etc. le but est très flou, même inexistant. Rien n'est cadré !!! Une fois ce code sécurisé, et j'ai grand espoir qu'il le soit au moins en partie, il y aura effectivement d'autres discussions à avoir, suivant l'implémentation de l'authentification des personnes, des adultes, des ados et des pré-ados... Les détails ne sont pas connus encore, juste les grandes lignes. Et je pense que tant les fournisseurs de services de VPN, que les développeurs de GrapheneOS et certaines distros Linux se frottent les mains  Ou alors il faudra rendre illégaux les VPN et les OS open-source, modifiables par soi-même et compilables ou recompilables localement !!! Les gamins ne sont pas des imbéciles, leurs cerveaux sont des éponges, ils sont incroyablement efficaces, incroyablement groupés aussi : un qui trouve, les autres suivent. D'où le célèbre Meme qui décrit que si tu as oublié ton code parental pour ta télécommande, ton gamin, lui, le connaît ... systemd utilisé par beaucoup de distros Linux a intégré une "vérification d'âge" basée sur la déclaration (pas de papiers d'identité, pas de biométrie, pas de vérification réelle), et il a déjà été forké pour enlever tout cela via liberated-systemd. Le dev qui a ajouté la vérification d'âge dans systemd contribue aussi à liberated-systemd, il est neutre, agnostique : les deux ont leur raison d'exister ! Excellente position, de ne pas prendre parti, de participer activement pour ceux qui veulent ou simplement acceptent, mais aussi pour ceux qui refusent et rejettent. -------------------- "Where are we now" - Bowie
|
|
|
|
Les messages de ce sujet
Paul Emploi Samedi Sécurité : l'App mobile Européenne de vérification d'âge n'est pas encore prête 19 Apr 2026, 12:25
gpv Il serait temps que la commission recrute ses ... 19 Apr 2026, 13:00 loucheux Et pendant ce temps à Vera Cruz
https://www.club... 20 Apr 2026, 14:04 Paul Emploi Encore ! C'est sans fin ... 20 Apr 2026, 16:39 loucheux Surtout si ce qui est dit dans l’article est vra... 20 Apr 2026, 18:40 Remy-l42 Suite du feuilleton...
La grosse Commission a pub... 26 Apr 2026, 13:23 joe75 Bon j ai regardé rapidement sur l application Art... 26 Apr 2026, 14:46
Paul Emploi Le PIN ne doit par définition pas être hashé : ... 26 Apr 2026, 20:50 |
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
| Nous sommes le : 30th April 2026 - 07:08 |