L’application de vérification d’âge de l’UE veut bloquer totalement les systèmes Android non certifiés par Google

 (reddit.com)
3 points par GN⁺ 2025-07-28 | 5 commentaires | Partager sur WhatsApp
  • L’UE développe en open source une application de vérification d’âge centrée sur la protection de la vie privée, que chaque État membre devrait personnaliser et déployer
  • L’application prévoit de vérifier, via une fonction de Remote Attestation (attestation à distance), qu’elle s’exécute dans un environnement légitime et fiable
  • Elle est fortement liée à l’écosystème Google : Android sous licence Google, installation via le Play Store et réussite des contrôles de sécurité de l’appareil
  • Même des Android personnalisés très sécurisés comme GrapheneOS ne pourront pas être utilisés faute de certification officielle Google ; en s’appuyant sur la Play Integrity API, elle impose des restrictions plus strictes que l’attestation Android standard
  • Au final, même une version compilée soi-même ne pourra pas être utilisée si elle n’est pas distribuée via le Play Store ; bien qu’open source, cela crée de fait une dépendance aux services Google et exclut les OS alternatifs

Aperçu de l’application de vérification d’âge de l’UE

Attestation à distance et politique de sécurité

  • Une fonction de Remote Attestation (attestation à distance) doit être intégrée à l’application
    • Le serveur vérifiera si l’application fonctionne sur un OS authentique et dans un environnement fiable
    • Critères d’un Android considéré comme "genuine" :
      • il doit s’agir d’un OS sous licence Google
      • l’application doit être installée depuis le Play Store (compte Google requis)
        • il faut également réussir les contrôles de sécurité de l’appareil
  • Cette méthode de vérification repose sur la Google Play Integrity API
    • Elle applique des restrictions bien plus fortes que l’attestation standard d’AOSP (Android Open Source Project)
    • Des OS personnalisés comme GrapheneOS ou LineageOS ne pourront dans la plupart des cas pas passer cette vérification

Restrictions sur les OS personnalisés et les builds

  • Les OS non officiels ou une application compilée soi-même ne pourront pas passer l’attestation à distance
    • Une application non distribuée sur le Play Store échouera à l’authentification du service
    • Cela entraîne en pratique une dépendance au compte et aux services Google
  • Bien qu’elle soit open source, l’application pose problème en excluant même des OS offrant davantage de liberté à l’utilisateur et un niveau de sécurité plus élevé

Impact et controverse

  • Dans la communauté des citoyens européens et des développeurs, la dépendance renforcée à Google, l’exclusion des OS alternatifs et les limites de l’open source font débat
  • Contrairement à l’objectif affiché de sécurité et de protection de la vie privée, les inquiétudes grandissent autour de la réduction du choix des utilisateurs et de la dépendance à un écosystème spécifique

À lire aussi

5 commentaires

 
crawler 2025-07-30

......Alors pourquoi utiliser Android ?
 
ng0301 2025-07-30

Là-bas aussi, ils sont nombreux, mais au final ce qu’ils font, c’est du pareil au même ici comme là-bas lol
 
null468 2025-07-29

Je ne vois pas bien comment la vérification d’âge et la protection de la vie privée peuvent aller ensemble..

Au moment où on s’authentifie, ça ne revient pas au minimum à laisser une fois sa signature là-bas ?

Si on veut vraiment protéger la vie privée, il faut pouvoir l’utiliser anonymement
 
unsure4000 2025-07-28

Pendant ce temps, Pass :
 
GN⁺ 2025-07-28
Avis Hacker News

  • Dans le cas d’Android, « authentique » signifie un système d’exploitation sous licence Google, des applications téléchargées depuis le Play Store (avec un compte Google requis) et la réussite des vérifications de sécurité de l’appareil
    Je reconnais l’intérêt de ce type d’approche pour vérifier la sécurité d’un appareil, mais en contrepartie l’application devient fortement dépendante des services de Google
    Comme ces contrôles de sécurité ne peuvent pas être validés sur des OS Android non officiels, cela est pointé comme un problème dans le projet européen de portefeuille d’identité numérique
    Issue GitHub liée
    Je m’oppose vivement à un tel projet
    Accroître la dépendance aux big tech américaines pour la vérification d’âge ferait céder davantage de souveraineté informatique de l’Europe aux États-Unis, ce qui est très peu souhaitable
    Vu la situation politique récente, il me semble inutile d’expliquer à quel point ce risque est grand et indésirable, tant cela paraît évident
    Moi-même, en tant que personne concernée, je trouve cette inquiétude raisonnable
    Un autre commentaire dans cette issue GitHub évoque aussi le fait qu’imposer les services Google pourrait contrevenir à l’indépendance juridique et aux lois sur la vie privée de certains États membres de l’UE

    • Le « contrôle de sécurité de l’appareil » est, à titre personnel, l’élément le plus effrayant
      En pratique, cela signifie « matériel et logiciel officiellement approuvés », et c’est un raccourci vers la dystopie contre laquelle Stallman mettait en garde dans « Right to Read »
      Je trouve assez ironique que l’UE s’appuie sur les big tech américaines pour renforcer elle-même l’autoritarisme numérique
      L’idée classique de la liberté à l’américaine, dans son sens rebelle, ne semble pas avoir autant de succès dans l’UE ou au Royaume-Uni

    • Il n’est même pas nécessaire d’invoquer le contexte politique : cette politique est en elle-même fondamentalement inquiétante
      L’espionnage étatique est toujours plus dangereux, et utiliser un OS non local peut au contraire être meilleur pour la vie privée
      Il faut simplement rester prudent lorsqu’on exécute du code propriétaire

    • En mentionnant un article selon lequel une certaine organisation policière britannique surveille en ligne les critiques de l’immigration, je veux souligner que, même si certains s’inquiètent du climat politique américain, la situation au Royaume-Uni n’est pas non plus rassurante

  • L’Union européenne parle sans cesse d’innovation au nom de la réduction de la dépendance envers les entreprises américaines, mais en pratique elle change souvent de discours, puis finit par laisser discrètement tomber le sujet avec le temps
    On a parfois l’impression que les pays européens sont solides individuellement, mais que l’Union européenne, elle, fait beaucoup de bruit pour peu d’effet concret

    • Structurellement, l’Union européenne n’est pas un État unique mais une organisation supranationale économique
      La France et l’Allemagne insistent souvent sur l’autonomie stratégique, mais la Pologne, la Tchéquie et les trois pays baltes y sont moins favorables
      Comme dans les débats récents sur l’auto-hébergement, il s’agit de trouver un équilibre entre autonomie et efficacité

    • 95 % des Européens utilisent déjà un OS américain ; on ne peut pas attendre 20 ans qu’un EurOS soit déployé pour la vérification d’âge

    • Si l’UE continue autant à osciller dans sa direction politique, c’est surtout parce qu’en arrière-plan s’affrontent les intérêts industriels de pays comme la France, l’Allemagne, l’Irlande ou la Tchéquie
      Les appels en faveur d’une « technologie propre à l’UE » viennent presque toujours des décideurs politiques et des entreprises françaises, pas vraiment d’Allemagne, des Pays-Bas ou de l’Europe de l’Est
      Les intérêts nationaux priment sur ceux de l’UE, et les investissements directs étrangers des big tech américaines pèsent déjà énormément dans l’économie de plusieurs États membres
      Dans les années 1980-1990, les constructeurs automobiles japonais et coréens avaient eux aussi choisi de coopérer en alignant leurs intérêts sur le marché américain

    • L’UE ressemble un peu à un « chihuahua bruyant sans effet »
      Elle fait passer des lois autoritaires, puis les responsables politiques nationaux disent qu’ils n’y peuvent rien tout en profitant du contrôle d’Internet qui en résulte
      Au final, les citoyens ordinaires n’y gagnent pas grand-chose

  • La guerre pour la liberté d’Internet s’accélère
    Sans résistance réelle face à ces lois dystopiques, la libre circulation de l’information devient progressivement une situation d’exception
    Ce n’est pas une possibilité pour l’avenir, c’est une réalité qui se déroule en ce moment même dans le monde entier

    • Un ami m’a dit qu’il ne pouvait plus voir les publications sur X (ex-Twitter) concernant des manifestations dans son pays
      Ces publications sont classées comme contenu « adulte » et ne sont désormais visibles qu’après vérification d’identité
      Il ne s’agit même pas de véritable pornographie, mais de vidéos de manifestations
      Vraiment, cela se produit déjà aujourd’hui

    • Cela commence toujours par « il faut penser aux enfants », mais ce n’est qu’un début
      L’âge d’or, l’époque sauvage d’Internet, est déjà terminé
      À l’avenir, il n’est même pas certain qu’on puisse encore préserver la vie privée et la liberté d’expression

  • Si vous voulez voir de quoi il s’agit, consultez la documentation technique officielle et le schéma du parcours utilisateur
    Le flux d’usage essentiel peut se résumer à une vérification préservant la vie privée du statut « plus de 18 ans »
    Cette méthode vise à empêcher l’accès des mineurs à la pornographie, mais pour quelqu’un qui s’y connaît un peu en technique, ce n’est pas un véritable obstacle
    Par exemple, avec un minimum de connaissances, on peut facilement contourner cela via un VPN ou en utilisant des torrents
    Ce serait différent si BitTorrent exigeait lui aussi une vérification des 18 ans, mais en pratique c’est difficile à bloquer

    • En réalité, aujourd’hui il suffit souvent d’un navigateur comme Opera GX et d’un VPN pour contourner la plupart de ces dispositifs
      C’est une méthode si répandue qu’on la voit fréquemment dans les publicités YouTube, donc ce n’est peut-être même pas réservé aux personnes vraiment technophiles

    • Je pense que les réseaux sociaux sont en réalité un problème plus grave encore que la pornographie
      À la limite, il vaudrait peut-être mieux fermer toutes les plateformes sociales et ne laisser que la pornographie
      Le fait d’y être exposé dès l’enfance peut poser problème, mais vu la baisse de la natalité partout dans le monde, on peut presque se dire que plus grand monde n’a vraiment l’intention d’avoir des enfants, donc qu’il n’y a même plus de raison de s’inquiéter
      J’ai l’impression d’être devenu bien trop cynique ces derniers temps

    • À mes yeux, la solution fondamentale consiste à éloigner complètement les mineurs d’Internet
      Si un élève de moins de 18 ans est en ligne sans supervision adulte adéquate, alors c’est déjà l’ensemble de la société qui a failli à sa responsabilité
      Même si l’on a déjà laissé le navire partir avec des devoirs scolaires de plus en plus centrés sur Internet, il faudra un jour repartir de zéro
      Ce qui est aussi dangereux que la pornographie, ce sont finalement les autres personnes et les diverses addictions
      Si l’on modifie seulement le système sans traiter le problème de fond, l’essentiel ne changera pas
      Ajout éditorial : je n’aime pas non plus le fait que l’accès à Internet soit devenu indispensable pour les devoirs scolaires
      La décision d’autoriser ou non un enfant à utiliser Internet devrait relever des parents, et je suis opposé aux politiques de vérification technique de l’âge ou de blocage généralisé des contenus
      Les parents doivent guider leurs enfants avec discernement

  • J’aimerais poser une question aux amis européens
    Pourquoi vous laissez-vous autant entraîner par les big tech américaines comme Google ?
    Je pense que l’Europe a en elle-même des capacités suffisantes pour faire cela
    C’est possible sans Google ; ce qu’il faut, c’est un plan clair et une volonté d’agir

    • Il suffit que les big tech américaines proposent des solutions « gratuites » pour que l’UE les accepte facilement, puis finisse par se plier à toutes les conditions
      Et plus tard, on rejoue toujours la même scène : on fait semblant de découvrir avec horreur ce qui était pourtant prévisible

    • La cause, c’est le manque de capitaux et la peur de l’avenir
      Quand Google annonce investir des centaines de millions d’euros pour construire des datacenters, on voit aussitôt apparaître les arguments sur l’emploi et la dynamisation de l’économie locale
      Si les relations avec Google sont bonnes, ce genre de projet d’implantation continue d’arriver ; à l’inverse, en cas de refus, les big tech peuvent déplacer leurs investissements ailleurs
      De plus en plus de voix disent qu’il faut créer nos propres technologies européennes, mais il est extrêmement difficile d’attirer des investissements face à la compétitivité tarifaire des big tech
      L’investissement direct des États est peu populaire, et du point de vue des entreprises privées, sans contrat de demande garanti, l’incitation à investir reste faible
      Au final, les big tech mondiales peuvent le faire plus vite et à moindre coût, et si la chaîne d’approvisionnement venait à être rompue, le risque se propagerait à toute l’Europe
      Et si l’UE excluait entièrement les big tech américaines, cela pourrait déclencher depuis les États-Unis une guerre commerciale de représailles

    • Je ne suis pas d’accord avec l’idée selon laquelle « l’UE a les moyens de régler cela seule »
      La plupart des logiciels européens que j’ai utilisés étaient de mauvaise qualité, et même ceux qui étaient à peu près corrects ont fini par être rachetés par des entreprises américaines

    • Au fond, ce qui compte, c’est l’argent
      En Europe, la manière de le rassembler et de l’utiliser diffère de celle des États-Unis

    • La politique finit toujours par être vulnérable à la corruption

  • Il existe déjà des précédents où des gouvernements ont interdit des appareils Android non officiels de Google
    On peut lire sur GrapheneOS un récapitulatif des blocages

  • On se dirige de plus en plus vers une partie techniquement perdante pour tout le monde
    J’utilise GrapheneOS au quotidien et j’en suis tellement satisfait que cela devrait être la valeur par défaut
    Une application applique une restriction similaire au point de refuser totalement de se lancer, et je garde donc un appareil Android d’origine séparé uniquement pour cette application
    C’est contraignant, mais j’estime que cela en vaut la peine
    Je suis quand même soulagé que cette tendance ne se propage pas trop vite autour de moi, même si je n’aime pas du tout la direction qu’elle prend

    • Le seul moyen de gagner dans cette situation, c’est de ne pas jouer au jeu
      On a besoin d’un smartphone, mais pour l’informatique du quotidien, la solution consiste à utiliser un ordinateur séparé

    • Ce n’est pas un problème technique, c’est en réalité un problème de régulation
      L’UE cherche à contrôler davantage Internet, et pour l’instant le prétexte est « pour les enfants », mais cela pourrait bientôt mener à l’identité réelle obligatoire, à l’inspection des chats, etc.
      Il faut absolument stopper les forces qui poussent ce type de régulation

  • Le nouveau parcours utilisateur tenté est déjà lui-même gênant, mais ce qui me dérange encore plus, c’est que des entreprises privées, américaines ou chinoises, tiennent le ticket d’entrée d’Internet
    Qui voudrait d’un tel Internet ?

    • Au fond, ceux qui veulent cet Internet, ce sont les riches apeurés et les bureaucrates

  • Au-delà des questions idéologiques, j’aimerais demander si cette approche est réellement nécessaire sur le plan technique
    Par exemple, sans ce type de vérification, il suffirait de modifier le code source ou le binaire pour forcer un « j’ai plus de 18 ans »
    Dans ce cas, je me demande s’il existe une méthode technique claire pour empêcher cela sans passer par Google

    • Oui
      Tout ce flux repose en réalité sur l’hypothèse d’un Wallet de l’UE (le projet)
      Le Wallet de l’UE s’appuie sur les standards OpenID (oidc4vci, oidc4vp) et prend en charge la vérification sélective par attribut
      Par exemple, un attribut émis par l’État peut être stocké dans le portefeuille sous forme de signature électronique
      Le problème est que ces informations peuvent être copiées ou revendues, de sorte qu’un simple stockage permettrait de contourner la vérification
      C’est pourquoi, lors de l’émission d’un attribut (credential), on l’attache à un appareil spécifique en authentifiant une paire de clés publique/privée, puis le RP vérifie en plus si la requête provient bien de l’appareil réel sur cette base
      Au final, cette étape exige un « stockage sécurisé », c’est-à-dire du matériel de type Secure Enclave
      Si l’environnement n’est pas protégé, comme sur un téléphone rooté, ou si la clé privée peut être extraite, alors une copie entre appareils devient possible et tout l’objectif perd son sens
      Par exemple, un ami majeur pourrait se faire vérifier puis partager cela

    • En pratique, cela ressemble au simple fait de se connecter à un site et de prouver qu’on possède une pièce d’identité personnelle, sauf qu’ici cela pourrait aussi exiger un jeton matériel ou une authentification biométrique, comme FIDO ou des passkeys
      Le problème semble être de distinguer les jetons réels des jetons virtuels et d’empêcher la simulation
      C’est là que des vérifications de confiance matérielle, comme Secure Boot, peuvent intervenir

    • Pour empêcher le contournement de la vérification, il faudrait que le démarrage, l’OS et le matériel soient attestés via une chaîne de signature de production enregistrée auprès de l’UE
      Si l’utilisateur enregistre sa propre clé de signature ou personnalise une image d’OS avec démarrage sécurisé, la vérification du boot ne correspond plus et l’attestation devient impossible
      C’est similaire au principe selon lequel, sur macOS, désactiver certaines options de sécurité peut empêcher l’accès à Apple Wallet
      Fondamentalement, on ne peut pas empêcher l’utilisateur de personnaliser à sa guise, mais dans ce cas il est exclu de la chaîne d’attestation officielle
      Le problème, c’est qu’à l’heure actuelle, les seuls exemples commerciaux de ce système appliqué au couple matériel-OS sont Google et Apple
      L’UE pourrait donc garder sa propre chaîne d’attestation largement ouverte tout en rendant les acteurs juridiquement responsables en cas d’exploitation d’une faille de sécurité ou de signalement
      À l’avenir, Steam Linux pourrait par exemple enregistrer cette chaîne auprès de l’UE pour des attestations de sécurité comme VAC
      En fin de compte, les fabricants et plateformes doivent pouvoir montrer à l’UE qu’ils prennent leurs responsabilités et qu’ils sont dignes de confiance, et il est possible que, dans le futur, davantage d’OS et de chaînes soient autorisés

  • Une longue discussion connexe est disponible dans cette issue GitHub
    À mes yeux, cette dépendance à Google porte atteinte à un principe fondamental du marché européen