L’app de vérification d’âge de la Commission européenne présente de…

D'après les informations rapportées par Next INpact : l’app de vérification d’âge de la Commission européenne présente de « grosses lacunes ».

Des p'tits trous, des p'tits trous, toujours des p'tits trous
Présentée comme « techniquement prête », l’app de vérification d’âge de la Commission européenne n’a pas tardé à soulever chez certains chercheurs des questions sur sa sécurité. Leurs découvertes sont pour le moins embarrassantes, même si le champ des attaques possibles est limité. Pour Olivier Blazy, contacté par Next, « les grosses lacunes ne mettent pas en danger directement les utilisateurs ».

L’application de vérification d’âge de l’Union européenne est « techniquement prête »… mais l’est-elle réellement ? Peu de temps après l’annonce d’Ursula von der Leyen du mercredi 15 avril, le chercheur en sécurité Paul Moore débusquait des vulnérabilités dans le code de l’app, disponible en open-source sur GitHub.

Des trous dans les bonnes pratiques de sécurité

Durant la configuration, l’application (testée sous Android) demande à l’utilisateur de créer un code PIN, ce qui jusque-là n’a rien d’anormal. Ce code est ensuite chiffré puis stocké dans un fichier local. Pour Paul Moore, ce code n’a aucune raison d’être chiffré car il n’est pas censé être récupérable : en cas de perte, il faut en créer un nouveau. L’app devrait normalement stocker une empreinte irréversible (hash).

Autre gros défaut de cette application : le code PIN sert juste de verrou local, il n’est pas techniquement attaché aux données qu’il protège. Un attaquant ayant accès au smartphone peut aller dans le fichier de configuration, supprimer les valeurs liées au code, relancer l’app et créer un nouveau PIN. Cela lui permettra d’accéder à l’identité d’un autre utilisateur. 

Captures d’écran : Paul Moore

Une démonstration confirmée dans une démo vidéo par Baptiste Robert, hacker éthique et patron de Predicta Lab. L’application intègre également une option permettant de désactiver l’authentification biométrique. En modifiant la valeur (de true à false), il est en effet possible de contourner complètement cette étape.

Faut-il pour autant prendre ses jambes à son cou ? « L’attaque la plus crédible, c’est votre neveu qui prend votre smartphone, il ne connait pas le code PIN, mais il existe malgré tout un moyen pour qu’il puisse utiliser votre vérification », explique Olivier Blazy, professeur à l’École polytechnique ayant notamment travaillé avec la CNIL sur un démonstrateur de vérification de l’âge en ligne. Il tempère : « C’est un peu limité comme champ d’attaque. »

Il reste 56% de l'article à découvrir.Vous devez être abonné•e pour lire la suite de cet article.Déjà abonné•e ? Générez une clé RSS dans votre profil.