Mercredi, la Commission européenne a dévoilé une application mobile(nouvelle fenêtre) conçue pour permettre aux gens de prouver leur âge en ligne sans partager de données personnelles avec les plateformes. Les responsables de l’UE ont déclaré que l’application était prête, qu’elle respectait les normes les plus strictes en matière de respect de la vie privée, et ont souligné que son code open source était une preuve de transparence.
En quelques heures seulement, des chercheurs en sécurité ont commencé à analyser le code open source. Dès jeudi, le consultant en sécurité Paul Moore avait contourné les protections de l’application en moins de deux minutes(nouvelle fenêtre).
D’autres ont confirmé ses conclusions. Les contrôles de limitation de débit de l’application étaient stockés dans un fichier modifiable, l’ authentification biométrique pouvait être désactivée par une simple modification de la configuration, et des identifiants sensibles étaient accessibles sans protection matérielle sécurisée.
La Commission a minimisé ces conclusions, qualifiant la version publiée de démonstration. Moore et le cryptographe français Olivier Blazy ont tous deux contesté cette affirmation, déclarant à Politico(nouvelle fenêtre) qu’ils testaient la dernière version du code lorsqu’ils ont découvert les failles.
Par la suite, la Commission a déclaré que le problème était résolu, mais l’incident montre tout de même à quel point ces systèmes de vérification de l’âge sont vulnérables.
Ce que fait l’application de vérification de l’âge de l’UE et ce qui a mal tourné
L’application de vérification de l’âge de l’UE permet aux utilisateurs de vérifier leur âge à l’aide d’un passeport, d’une carte d’identité nationale ou d’un fournisseur approuvé comme une banque. Les plateformes peuvent ensuite demander à l’application de vérifier si une personne a dépassé un certain âge sans accéder aux données personnelles sous-jacentes, un concept également connu sous le nom de preuve à divulgation nulle de connaissance.
L’implémentation a compromis cette conception. L’application de vérification de l’âge de l’UE stockait un code PIN chiffré dans un fichier de configuration modifiable sur l’appareil, séparé du coffre-fort d’identité qui conserve les données sensibles. En supprimant quelques valeurs et en redémarrant l’application, un attaquant peut définir un nouveau code PIN tout en réutilisant les identifiants d’un profil précédent.
Les contrôles de limitation de débit qui empêchent les tentatives répétées étaient stockés sous la forme d’un simple compteur dans le même fichier, lequel peut être réinitialisé à zéro, effaçant ainsi toute trace de tentatives échouées. L’authentification biométrique était contrôlée par un simple indicateur booléen ; le faire passer de « vrai » à « faux » permettait d’ignorer totalement la vérification.
Conçue pour vérifier l’âge, mais sans sécurité
Après que des chercheurs ont utilisé le code pour exposer ses failles, les responsables ont requalifié l’application en version de démonstration.
Plusieurs développeurs ont noté que les données sensibles auraient dû être stockées dans une enclave sécurisée, une protection matérielle disponible sur les smartphones modernes qui rend ces attaques beaucoup plus difficiles.
Mais ces vulnérabilités révèlent un problème qui dépasse cette application particulière. La vérification de l’âge n’est pas sûre par conception, car elle nécessite de lier une identité réelle à une action en ligne. Ce lien doit être stocké quelque part, même brièvement, et quel que soit son emplacement, il devient une cible pour les pirates, les gouvernements et toute personne accédant de manière non autorisée aux données sous-jacentes. Plus ce lien devient centralisé et réutilisable, plus la cible s’agrandit.
La loi sur la vérification de l’âge de l’UE est censée être une norme unique respectant la vie privée qui remplace la mosaïque juridique prenant forme dans les États membres, mais la confiance de la Commission dans le fait que l’application soit prête s’est avérée prématurée. Plus de 400 chercheurs en sécurité et en respect de la vie privée ont écrit à la Commission en mars(nouvelle fenêtre) pour demander un moratoire sur le déploiement jusqu’à ce que les connaissances scientifiques sur la technologie de vérification de l’âge soient établies.
