Vingt-quatre heures. C’est le temps qu’il a fallu à un chercheur en sécurité pour pulvériser la nouvelle application européenne censée protéger les mineurs des contenus adultes en ligne. Le 15 avril, Bruxelles la présentait comme « techniquement prête ». Le 16, la vidéo de son contournement tournait sur X.

Trois failles trouvées en deux minutes

Paul Moore, consultant britannique en cybersécurité, a mis moins de deux minutes à faire sauter trois verrous de l’application. Premier trou : le code PIN chiffré en local n’est pas lié au coffre d’identité de l’utilisateur. Il suffit d’effacer quelques valeurs de configuration pour en définir un nouveau tout en gardant accès au profil existant. Deuxième faille, la protection contre le brute force s’appuie sur un simple compteur stocké dans un fichier modifiable. Un reset, et on peut tester les PIN à l’infini. Troisième défaut, le plus gênant : l’authentification biométrique se désactive en basculant un paramètre booléen de « true » à « false ».

« Sérieusement Von der Leyen, ce produit sera le catalyseur d’une énorme fuite à un moment donné », a écrit Moore sur X en publiant sa démonstration. Pavel Durov, patron de Telegram, a enchaîné en qualifiant l’outil d' »écoute vendue comme respectueuse de la vie privée ». La Commission a rectifié son code dans les heures qui ont suivi, mais le mal était fait : la publication coïncidait avec le pic médiatique du lancement.

Sept pays pilotes, la France au premier rang

L’application s’appuie sur le portefeuille numérique européen EUDI et sur la preuve à divulgation nulle, un procédé cryptographique qui permet de confirmer « cet utilisateur a plus de 18 ans » sans transmettre nom, date de naissance ou pièce d’identité. Sept États membres préparent son intégration à leur portefeuille national : France, Italie, Espagne, Grèce, Danemark, Chypre et Irlande. Un premier pilote, lancé en juillet 2025 dans cinq de ces pays, a servi de rodage technique. Deutsche Telekom et la société espagnole Scytáles ont mené les tests pendant cinq mois. Objectif fixé par la Commission : un déploiement grand public d’ici fin 2026, au même moment que le portefeuille EUDI lui-même.

Selon le blueprint publié sur ageverification.dev, chaque session génère jusqu’à trente attestations anonymes valables trente jours, à usage unique sur chaque plateforme. Pas de base centrale, pas de traçabilité entre services. Sur le papier, la promesse cryptographique tient la route.

L’Arcom avait déjà tracé la route

Pour la France, le nouveau dispositif vient se greffer sur le cadre imposé depuis 2024 par l’Arcom. Celui-ci repose sur un principe de « double anonymat » : ni le site visité, ni l’intermédiaire de vérification ne doit pouvoir identifier le visiteur. L’exigence a poussé plusieurs acteurs à déserter le marché français. Le groupe canadien Aylo, propriétaire de Pornhub, YouPorn et Redtube, a coupé l’accès à ses sites plutôt que de se plier aux règles parisiennes.

En parallèle, la députée Renaissance Laure Miller a fait adopter en janvier 2026 un texte fixant à 15 ans l’âge minimum pour ouvrir un compte sur les réseaux sociaux, sous peine d’amendes pour les plateformes qui fermeraient les yeux. Avec l’app européenne, Paris récupère un outil commun qu’il tentait de bricoler seul depuis trois ans.

Le bug est corrigé, la dépendance américaine non

La Commission défend la solidité cryptographique de sa solution, rapporte Clubic. Les preuves générées ne contiennent aucune donnée personnelle, ne peuvent pas être reliées entre elles et ne laissent aucune trace chez l’émetteur d’identité. Dans les faits, les failles trouvées par Paul Moore touchaient une version candidate du code Android, pas le protocole zero-knowledge lui-même. Ce qui n’empêche pas les spécialistes de relever un autre problème, plus structurel : la version Android repose sur Google Play Integrity, un composant propriétaire fourni par une entreprise américaine. Dans un projet censé incarner la souveraineté numérique européenne, la dépendance passe mal.

Henna Virkkunen, commissaire chargée du numérique, n’a pas cherché à minimiser l’inconfort d’un usage quotidien : « On ne veut pas que les plateformes scannent notre passeport ou notre visage », a-t-elle déclaré à Dublin le jour de l’annonce. De son côté, Simeon de Brouwer, de l’ONG European Digital Rights, doute publiquement que l’application soit « pratique » pour l’utilisateur final. Et un paramètre inquiète silencieusement tout le monde : rien n’empêche un mineur d’utiliser le téléphone de ses parents, donc leur attestation. Le système vérifie un appareil, pas une personne.

Ce que ça change pour les plateformes

Concrètement, la plupart des géants devront s’interfacer : Pornhub, X, Instagram, TikTok et tout service qui commercialise des produits soumis à un âge minimum. Le Digital Services Act, à son article 28, rend déjà obligatoire la protection des mineurs sur les très grandes plateformes. L’app européenne devient la référence contre laquelle toute méthode alternative sera jugée. Ceux qui gardent leur propre contrôle, comme Aylo en France, devront démontrer qu’ils font au moins aussi bien côté vie privée. Ceux qui adoptent l’app bénéficieront d’une présomption de conformité.

Un groupe d’experts doit remettre cet été ses recommandations sur un âge minimum harmonisé au niveau européen pour les réseaux sociaux. La France plaide pour 15 ans, l’Espagne pour 16, d’autres capitales traînent les pieds. L’application, qui ne prendra toute son utilité que couplée à ce seuil commun, arrive donc avant le consensus politique qu’elle est censée servir.

Prochaine échéance : la présentation publique du dispositif au Safer Internet Forum, prévue début décembre. D’ici là, le code sera relu par d’autres chercheurs. Paul Moore, lui, a prévenu sur X qu’il avait encore des bugs dans son carquois. Pour convaincre Bruxelles, la version finale devra tenir plus de deux minutes.