La Commission européenne a officiellement présenté, la semaine dernière, son outil de vérification d’âge pour les utilisateurs en ligne. Cet instrument, présenté comme garantissant « les normes de confidentialité les plus élevées au monde », vise à permettre aux plateformes numériques de confirmer l’âge de leurs utilisateurs sans collecter de données personnelles superflues. Pourtant, selon Libération, des chercheurs en cybersécurité ont déjà identifié des vulnérabilités dans le système, contraignant les autorités européennes à publier une mise à jour corrective dès le lendemain de l’annonce.
Ce qu'il faut retenir
- La Commission européenne a dévoilé le 15 avril 2026 un outil de vérification d’âge présenté comme ultra-sécurisé et anonyme.
- Des chercheurs en cybersécurité ont détecté des failles de sécurité dès la semaine suivante.
- Une mise à jour corrective a été publiée dans la foulée pour pallier ces vulnérabilités.
- L’outil repose sur un système de « jetons d’âge » échangeables entre utilisateurs et services en ligne.
- Les garanties de confidentialité promises par Bruxelles sont désormais remises en question par ces découvertes.
Un outil présenté comme une solution révolutionnaire
Dans un communiqué diffusé le 15 avril 2026, la Commission européenne a présenté sa solution pour répondre aux exigences réglementaires en matière de protection des mineurs en ligne. Baptisé « European Age Verification System » (EAVS), cet outil utilise un système de jetons cryptographiques permettant de certifier l’âge d’un utilisateur sans transmettre d’informations personnelles. L’exécutif européen a insisté sur le fait que cette méthode respecte « les normes de confidentialité les plus élevées au monde », promettant une protection totale des données des citoyens. — Selon Bruxelles, le dispositif devait entrer en vigueur progressivement à partir de 2027, en application du règlement européen sur les services numériques (DSA).
Pourtant, dès le 17 avril, soit deux jours après l’annonce, des experts en cybersécurité ont révélé l’existence de failles techniques dans le système. Ces vulnérabilités, détaillées dans un rapport technique publié par un collectif de chercheurs indépendants, permettraient à des tiers malveillants d’intercepter ou de falsifier les jetons d’âge échangés entre les utilisateurs et les plateformes. Une situation qui contredit directement les affirmations de la Commission sur la robustesse du système.
Des failles qui forcent une réaction rapide de Bruxelles
Face à ces révélations, la Commission européenne a réagi promptement en publiant, le 18 avril 2026, une mise à jour de sécurité pour corriger les vulnérabilités identifiées. « Nous avons pris ces signalements très au sérieux et agi avec célérité pour renforcer la protection des utilisateurs », a déclaré une porte-parole de l’exécutif européen, sans préciser la nature exacte des failles ni l’étendue des risques encourus. — Le communiqué officiel mentionne que ces correctifs s’appuient sur des audits externes réalisés par des organismes spécialisés dans la cybersécurité.
Cette réactivité contraste avec le ton initial de la Commission, qui avait présenté l’EAVS comme une solution infaillible. « L’outil a été conçu pour offrir un niveau de sécurité inégalé, avec des protocoles de chiffrement avancés et des mécanismes de vérification décentralisés », avait souligné un responsable européen lors de la présentation. Pourtant, les experts pointent du doigt un manque de transparence sur les tests préalables effectués avant le déploiement. « On se demande si ces audits ont été suffisamment poussés », confie un chercheur en cryptographie ayant participé à l’analyse des failles.
Un système fondé sur des principes fragiles ?
L’EAVS repose sur un principe simple : l’utilisateur génère un jeton numérique attestant de son âge, qu’il transmet ensuite aux plateformes souhaitant vérifier cette information. Ce jeton, stocké localement sur l’appareil de l’utilisateur, est censé être infalsifiable et non traçable. « L’idée est de ne jamais transmettre de données personnelles, mais uniquement une preuve d’âge », explique la Commission. — Pourtant, les chercheurs ont démontré que, dans certaines conditions, il était possible de corréler ces jetons avec d’autres données en circulation sur le réseau, levant ainsi une partie du voile sur l’anonymat promis.
Une autre faille concerne la validation des jetons par les plateformes. Selon les tests réalisés, des acteurs malveillants pourraient exploiter des failles dans les protocoles de validation pour accepter des jetons frauduleux. « Le système suppose que les plateformes font correctement leur travail, ce qui n’est pas toujours le cas en pratique », souligne un expert cité par Libération. Ces découvertes soulèvent des questions sur la fiabilité globale du dispositif, alors que son déploiement est prévu dans un contexte réglementaire strict.
En attendant, les associations de défense des droits numériques appellent à une pause dans le déploiement de l’EAVS. « Il est prématuré de généraliser un système aussi fragile sans garanties absolues », a déclaré la Quadrature du Net dans un communiqué. La balle est désormais dans le camp de la Commission, qui devra convaincre que la sécurité des utilisateurs prime sur les impératifs politiques.
L’European Age Verification System (EAVS) est un outil développé par la Commission européenne pour permettre aux services en ligne de vérifier l’âge des utilisateurs sans collecter de données personnelles. Il repose sur un système de « jetons d’âge » générés localement par l’utilisateur et transmis aux plateformes. Ces jetons, chiffrés et non traçables, attestent de la majorité de l’utilisateur sans révéler son identité.
