🗓️ Contexte

Source : IT-Connect, publié le 20 avril 2026. Le 15 avril 2026, la présidente de la Commission européenne Ursula von der Leyen a officiellement présenté Age Verification, une application mobile open source destinée à permettre aux citoyens européens de prouver leur âge en ligne (notamment pour accéder aux réseaux sociaux) sans transmettre de données personnelles sensibles aux plateformes. Son déploiement obligatoire est prévu pour septembre 2026.

🔍 Vulnérabilités identifiées

Le consultant en sécurité Paul Moore a publié le 16 avril 2026 sur X une démonstration vidéo montrant le contournement complet de l’application en moins de 2 minutes. Trois failles majeures ont été identifiées :

  • Chiffrement décorrélé de l’identité : le code PIN chiffré est stocké localement dans le répertoire shared_prefs sans être lié au coffre-fort d’identité de l’utilisateur. La suppression de certaines valeurs dans les fichiers de configuration permet à un attaquant de définir un nouveau PIN tout en conservant l’accès aux données du profil précédent.
  • Blocage brute force inefficace : le compteur de tentatives (rate limiting) est stocké dans un fichier modifiable en clair. Sa remise à zéro permet des attaques par force brute illimitées.
  • Désactivation triviale de la biométrie : l’authentification biométrique est contrôlée par un simple paramètre booléen modifiable, permettant de bypasser totalement cette étape de vérification.

⚠️ Réactions

Paul Moore a déclaré sur X que cette application serait “le catalyseur d’une énorme violation à un moment donné”. Des observateurs ont souligné l’absence d’utilisation d’enclaves sécurisées (disponibles sur Android et iOS) pour protéger les données sensibles. Pavel Durov, PDG de Telegram, a qualifié l’application d’“outil de surveillance vendu comme respectueux de la vie privée”.

📋 Type d’article

Article de presse spécialisée relatant une divulgation publique de vulnérabilités par un chercheur indépendant sur une application officielle de l’Union européenne, avec démonstration technique à l’appui.

🧠 TTPs et IOCs détectés

TTP

  • T1600 — Weaken Encryption (Defense Evasion)
  • T1110.001 — Brute Force: Password Guessing (Credential Access)
  • T1556 — Modify Authentication Process (Credential Access)
  • T1005 — Data from Local System (Collection)

IOC

  • Chemins : shared_prefs

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ it-connect.fr — source non référencée (0pts)
  • ✅ 5108 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.it-connect.fr/application-verification-age-union-europeenne-piratee-en-2-minutes/