« Pirater la vérification d’âge en moins de 2 minutes » : l’application phare de l’Union européenne déjà compromise
L’application de l’Union européenne de vérification d’âge a été présentée le jeudi 16 avril et s’inscrit dans le projet d’interdiction de l’accès aux réseaux sociaux pour les moins de 15 ans. Quelques heures après sa mise en ligne sur GitHub, un consultant en sécurité a pu démontrer des problèmes de sécurité en piratant l’application en moins de deux minutes.
Aussitôt lancée, aussitôt piratée. L’application de vérification d’âge de l’Union européenne rencontrerait de graves problèmes.
C’est peut-être le piratage le plus rapide de l’Histoire. Le jeudi 16 avril, l’Union européenne a présenté son application dédiée à la vérification d’âge, s’inscrivant dans un projet visant à interdire l’accès aux réseaux sociaux pour les moins de 15 ans.
Selon Ursula von der Leyen, présidente de la Commission européenne, l’application « coche toutes les cases » en offrant « les normes de confidentialité les plus élevées au monde », étant « entièrement open source », « fonctionnant sur n’importe quel appareil » et « facile à utiliser ».
Cependant, seulement quelques heures après son lancement sur GitHub, un utilisateur a mis en évidence de sérieux problèmes de sécurité.
Des erreurs d’amateur.
C’est Paul Moore, consultant en sécurité, qui a exposé cette faille sur Twitter. Il a déclaré avoir pu pirater l’application en moins de deux minutes.
En réalité, lors de la première configuration, l’application demande à l’utilisateur de créer un code PIN de déverrouillage. Néanmoins, il est possible de forcer la réinitialisation de ce code PIN en supprimant les valeurs dans un fichier de téléphone. Un hacker peut alors accéder à toutes les données stockées dans l’application, y compris les données d’identité, et contourner la vérification d’âge sur les sites Internet.
L’application propose également un déverrouillage par biométrie via le lecteur d’empreinte du smartphone. Toutefois, une simple modification dans le fichier de configuration, en indiquant « UseBiometricAuth » comme false, permet de désactiver cette vérification.
Un projet encore à ce stade.
Heureusement, bien que l’Union européenne ait lancé la communication autour de cette application, elle n’est pas encore disponible sur l’App Store et le Google Play Store. Sa diffusion est pour l’instant limitée à GitHub, et les problèmes identifiés pourraient être rapidement résolus.
