La vérif d'âge de l'Europe ridiculisée par une extension Chrome

Wait 5 sec.

Bon, vous le savez, l'Europe tient absolument à savoir votre âge, avant de vous laisser scroller librement sur le net. Alors pour cela, ils ont mis au point une application qui permet de prouver votre âge et qui nous est proposée comme simple à utiliser et respectueuse de notre vie privée.Mais ça c'était sans compter sur Paul Moore, chercheur en sécurité, qui vient à nouveau de l'éclater à l'aide d'une simple extension Chrome...Mais reprenons depuis le début, parce que cette appli, c'est le modèle de référence de la Commission européenne pour vérifier qu'un internaute a bien plus de 18 ans, sans avoir à dévoiler qui il est. Développée par un consortium germano-suédois, elle est actuellement en test dans cinq pays dont la France, et vise aujourd'hui surtout le contenu adulte / porno et les jeux d'argent.Ce 13 juillet, notre bien-aimée Ursula von der Leyen a même annoncé vouloir réutiliser cette infrastructure pour barrer l'accès des plus jeunes aux réseaux sociaux, avec une loi attendue après l'été et un âge minimum autour de 13 ans. "Les réseaux sociaux ne sont pas un jouet", comme elle l'explique ! Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo. Et pour arriver à cela, rassurez-vous, l'UE ne va pas stocker la carte d'identité de chaque Européen puisque le principe de ce système de contrôle, c'est de prouver l'âge sans transmettre l'identité.Enfin, en théorie...Parce qu'en pratique, c'est un peu la fête du slip ! Déjà il y a le dépôt Github officiel qui prévient tout le monde que c'est une implémentation de référence et absolument pas un truc à déployer en production. Donc en gros démerdez-vous !Et ensuite, cette application est censée présenter une preuve d'âge à un vérificateur sans avoir à balancer notre identité. Alors ce qu'a fait Paul Moore, c'est qu'il a fabriqué cette preuve directement à partir d'une extension Chrome, et la présenter au vérificateur officiel de la démo. Et comme vous vous en doutez, celui-ci l'a validée comme si de rien n'était Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un lien vers la vidéo. Ça a l'air tellement simple ! En même temps, vu que la clé crypto, c'est une simple clé logicielle P-256 et pas une clé qui est enfermée dans le coffre matériel du téléphone, eh bien c'est assez facile à déjouer. Il n'y a pas besoin de scanner son passeport ou sa carte d'identité, il n'y a aucune reconnaissance faciale, ni aucune attestation matérielle façon Play Integrity pour prouver que ça tourne sur du vrai matos et (rigolez pas) la même preuve peut être rejouée en boucle encore et encore !! Une preuve d'âge peut donc servir 2 fois de suite.Et puis cette preuve d'identité, elle est à 100% sous le contrôle du client. Donc en gros c'est à l'application installée sur votre téléphone qu'on demande de ne pas tricher. Mais lol.Pour Moore qui a mis au point ce hack, il n'y aurait aucun patch qui pourrait régler ça. C'est vraiment l'architecture qui est foireuse. Et comme tout repose sur la bonne foi de l'application, eh bien c'est foutu. N'importe qui détourne l'application ou forge sa propre app peut faire croire au vérificateur qu'il a plus de 18 ans.Pour boucher ce trou, l'Europe dispose de deux pistes : Soit passer par une attestation matérielle en béton, comme celle que Google verrouille via Play Integrity, ce qui recale au passage les gens sous GrapheneOS, Linux et compagnie, ou alors faire de la vraie crypto à divulgation nulle, prévue pourtant dans la spec mais pas branchée dans cette version.Ce qui est rigolo, c'est que Moore a expliqué sur X avoir codé son proof of concept avec une IA en quelques minutes. Et on n'oublie pas non plus que Bruxelles veut interdire les réseaux sociaux avant 13 ans et a fait passer Chat Control pour scanner nos messages.... Je trouve que ça fait beaucoup de "contrôle" qu'on essaye de déguiser en "protection".En attendant, ils sont bien ridicules avec leur application de validation d'âge en mousse. Source