Le service de recherche du Parlement européen qualifie les VPN de « faille à combler »

 (cyberinsider.com)
1 points par GN⁺ 1 시간 전 | 1 commentaires | Partager sur WhatsApp
  • European Parliamentary Research Service (EPRS) estime que les VPN sont de plus en plus utilisés pour contourner les systèmes de vérification d’âge en ligne, et les qualifie de « faille législative à combler »
  • En Europe et ailleurs, les gouvernements étendent les règles de sécurité des enfants en ligne qui imposent aux plateformes de vérifier l’âge des utilisateurs avant l’accès à des contenus pour adultes ou soumis à une restriction d’âge
  • L’EPRS indique qu’après l’entrée en vigueur de lois de vérification d’âge obligatoire au Royaume-Uni et dans plusieurs États américains, l’usage des VPN a fortement augmenté, et qu’au Royaume-Uni les applications VPN ont dominé les classements de téléchargement
  • Le document de l’EPRS782618_EN.pdf) indique que certains décideurs politiques et défenseurs de la sécurité des enfants souhaitent aussi imposer une vérification d’âge pour l’accès même aux VPN, mais qu’une vérification d’identité préalable à l’accès aux VPN pourrait affaiblir la protection de l’anonymat et accroître les risques de surveillance et de collecte de données
  • L’EPRS indique qu’à mesure que l’UE révise sa législation sur la cybersécurité et la sécurité en ligne, les fournisseurs de VPN pourraient faire l’objet d’un examen plus strict, et que de futures révisions de l’EU Cybersecurity Act pourraient introduire des exigences de sécurité des enfants visant à empêcher les usages abusifs des VPN

Avertissement de l’EPRS sur le vide réglementaire autour des VPN

  • Le European Parliamentary Research Service (EPRS) affirme que les VPN sont de plus en plus utilisés pour contourner les systèmes de vérification d’âge en ligne, et parle d’une « faille législative à combler »
  • En Europe et dans d’autres régions, les gouvernements étendent les règles de sécurité des enfants en ligne imposant aux plateformes de vérifier l’âge des utilisateurs avant l’accès à des contenus pour adultes ou soumis à une restriction d’âge
  • Les VPN sont des outils de protection de la vie privée qui chiffrent le trafic internet et font transiter la connexion via des serveurs distants afin de masquer l’adresse IP de l’utilisateur
  • Les VPN sont largement utilisés à des fins légitimes, comme la protection des communications, l’évitement de la surveillance ou le télétravail sécurisé, mais les autorités de régulation craignent que cette même technologie permette aux mineurs de contourner les contrôles d’âge fondés sur la localisation

Hausse de l’usage des VPN après l’entrée en vigueur des lois sur la vérification d’âge

  • L’EPRS affirme qu’après l’entrée en vigueur de lois de vérification d’âge obligatoire au Royaume-Uni et dans plusieurs États américains, l’usage des VPN a fortement augmenté
  • Au Royaume-Uni, les services en ligne doivent empêcher l’accès des enfants aux contenus nuisibles, et il est rapporté qu’après l’entrée en vigueur de la loi, les applications VPN ont dominé les classements de téléchargement
  • La publication de l’EPRS indique que « les VPN sont de plus en plus utilisés pour contourner la vérification d’âge en ligne » et précise que de nouvelles règles imposant un âge minimum pour accéder à certains services sont en cours d’application

Tendance à exiger une vérification d’âge pour l’accès même aux VPN

  • Le document de l’EPRS782618_EN.pdf) présente les VPN comme un angle mort réglementaire et indique que certains décideurs politiques et défenseurs de la sécurité des enfants estiment qu’une vérification d’âge devrait aussi être requise pour l’accès aux VPN eux-mêmes
  • Le Children’s Commissioner for England a également demandé que les services VPN soient limités aux adultes
  • Mais imposer une vérification d’identité avant l’accès aux VPN pourrait fortement affaiblir la protection de l’anonymat et créer de nouveaux risques liés à la surveillance et à la collecte de données
  • Des fournisseurs de VPN et des organisations de défense de la vie privée se sont déjà opposés à cette approche dans une lettre adressée aux décideurs politiques britanniques

Problèmes de sécurité et de confidentialité de l’application européenne de vérification d’âge

  • Le mois dernier, des chercheurs ont découvert plusieurs failles de sécurité et de confidentialité peu après le lancement de l’application officielle de vérification d’âge de la European Commission
  • Cette application avait été présentée comme un outil respectueux de la vie privée dans le cadre du DSA, mais il a été constaté que des images biométriques sensibles étaient stockées dans un emplacement non chiffré
  • Une faille permettant de contourner entièrement les contrôles de vérification a également été révélée

Vérification d’âge : difficultés techniques et alternatives

  • Le document de l’EPRS reconnaît que la vérification d’âge reste techniquement difficile et fragmentée à l’échelle de l’UE
  • Les systèmes actuels fondés sur l’auto-déclaration, l’estimation de l’âge et la vérification d’identité peuvent encore être contournés assez facilement par les mineurs
  • De nouvelles approches sont aussi évoquées, comme la vérification « double-blind » utilisée en France
    • Le site web reçoit uniquement la confirmation que l’utilisateur remplit l’exigence d’âge, sans connaître son identité
    • Le fournisseur de vérification ne peut pas voir quels sites web l’utilisateur visite

Une législation qui commence à viser directement les VPN

  • L’Utah est récemment devenu le premier État américain à adopter une loi ciblant explicitement l’usage des VPN dans la vérification d’âge en ligne
  • Le SB 73 de l’Utah définit la localisation de l’utilisateur sur la base de sa présence physique, et non de l’adresse IP apparente, même si celle-ci est masquée via un VPN ou un service proxy
  • L’EPRS estime qu’à mesure que l’UE révise sa législation sur la cybersécurité et la sécurité en ligne, les fournisseurs de VPN pourraient faire l’objet d’un examen plus strict
  • Il indique que de futures révisions de l’EU Cybersecurity Act pourraient introduire des exigences de sécurité des enfants visant à empêcher l’usage abusif des VPN pour contourner les protections légales

À lire aussi

1 commentaires

 
GN⁺ 1 시간 전
Avis sur Hacker News

  • Au cas où les gens l’auraient oublié, quand la Chine a commencé à exiger une autorisation d’enregistrement avant l’exploitation d’un site web, le prétexte était aussi la protection des enfants
    Cette politique simple a fini par réduire au silence la plupart des éditeurs individuels et des médias indépendants, concentrer le secteur entre quelques mains et supprimer les rares opportunités restantes pour les petits créateurs. Cela peut avoir des conséquences bien pires que le fait que des enfants voient du porno en ligne, car cela affecte négativement toute la vie des gens
    Si l’UE veut vraiment réserver les services VPN aux adultes, il suffit d’infliger des amendes aux enfants qui utilisent un VPN ou aux parents qui l’autorisent. Comme pour les infractions routières, on sanctionne le conducteur, pas la route
    Et si vous pensez encore que ce n’est pas suffisant, il suffit de couper les câbles, comme la Corée du Nord

    • Pour résumer comment les choses se sont passées en Russie
      Vers 2015, un cadre juridique a été créé sous prétexte de bloquer les médias pirates, notamment torrents.ru, et un blocage DNS à l’échelle nationale a été introduit, mais il était facile à contourner en interrogeant 8.8.8.8
      Ensuite, sur cette base légale, le gouvernement a ajouté d’autres catégories à la liste de blocage, comme les casinos et les organisations terroristes, et a commencé à appliquer prudemment le blocage d’IP
      La loi a été élargie pour permettre au gouvernement de bloquer certains médias selon des critères vagues, des tentatives de blocage IP ont visé certains grands sites, et les FAI ont été obligés d’installer des équipements de DPI pour filtrer selon le SNI HTTPS
      Vers 2019, l’organisme gouvernemental Roskomnadzor (RKN), chargé d’exécuter les blocages sans ordonnance judiciaire, a été créé. Vers 2021, les sites qui ne filtraient pas les contenus selon les normes juridiques russes à la demande du RKN ont commencé à être bloqués, et les services VPN ont aussi dû filtrer leur trafic via DPI
      Vers 2023, la répression des VPN a commencé : des services commerciaux populaires ont été bloqués par IP, et les connexions OpenVPN et IPSec ont été ralenties sélectivement via DPI. Vers 2025, un filtrage renforcé des VPN comme vless et WireGuard a été mis en place, et les performances de certains sites comme YouTube et Twitter ont également été dégradées
    • Si les politiciens, les forces de l’ordre et les militaires étaient soumis exactement de la même manière à ces lois anti-vie privée, j’aurais envie d’être pour. Bien sûr, je ne le suis pas vraiment
      L’opposition exposerait leurs saletés, la corruption ordinaire deviendrait visible, et chacun utiliserait ces données comme arme contre les autres, mais ce monde n’arrivera jamais. Nous ne vivons pas dans un monde où la loi s’applique équitablement à tous
      En gros : « des règles pour vous, pas pour moi »
    • Vous posez des questions beaucoup trop logiques. Pour un citoyen du monde en 2026, vous réfléchissez et vous parlez beaucoup trop. Désormais, le mot-clé « raisonnement » est réservé aux chatbots, les humains n’ont plus le droit d’en faire et doivent obéir comme des bots en faisant semblant de croire à tous leurs mensonges
      J’habite en Turquie, où le gouvernement a interdit tous les sites pour adultes vers 2008. Même les adultes n’y ont pas accès. Cette année, dans le sillage de la tendance mondiale, ils interdisent aussi les VPN et mettent en place la vérification d’âge et d’identité
      Ils interdisent aussi certains jeux, contrôlent les réseaux sociaux et légalisent le contrôle et la surveillance de tout le monde sur Internet. Sacrée coïncidence que des tentatives similaires se produisent en même temps dans plusieurs États indépendants
      Et depuis 2008, les enfants n’ont pas vraiment été mieux protégés en Turquie
    • L’argument du « protégeons les enfants » revient toujours. Il permet, au mieux, d’étiqueter quiconque s’oppose à une régulation ou à une loi comme quelqu’un qui « met les enfants en danger », et au pire comme un « pédophile »
      Résultat, les opposants à ces régulations ou à ces lois deviennent, au mieux, des gens qu’on ne juge pas dignes d’être écoutés, et au pire des gens qu’il faut envoyer en prison
      https://en.wikipedia.org/wiki/Think_of_the_children
    • Je ne me souviens pas que le système chinois d’autorisation d’enregistrement des sites web ait été justifié par la « protection des enfants », et il est difficile de trouver des preuves d’une telle justification publique à grande échelle
      À mes yeux, cela ressemble plutôt à un gouvernement qui a estimé avoir besoin de davantage de contrôle sur Internet et qui a donc adopté une loi lui en donnant plus. https://www.gov.cn/gongbao/content/2000/content_60531.htm
      Cette loi n’a pas non plus de disposition spéciale qui aurait d’abord été limitée aux enfants avant d’être étendue plus tard aux adultes. En revanche, la limitation du temps de jeu des enfants, à ma connaissance, s’applique toujours uniquement aux enfants

  • Ce titre me semble trompeur
    Le document du Parlement européen semble signaler l’existence du débat au sujet des VPN
    Le passage concerné dit en substance : « certains soutiennent qu’il s’agit d’une faille de la loi et qu’il faut aussi imposer une vérification d’âge aux VPN. En réponse, certains fournisseurs de VPN disent qu’ils ne partagent pas d’informations avec des tiers et que, de toute façon, leur service n’est pas destiné à être utilisé par des enfants. Le Children's Commissioner du Royaume-Uni a demandé que les VPN soient réservés aux adultes ».
    Bien sûr, cela ne veut pas dire que l’UE ne réglementera pas les VPN, mais nulle part dans ce document « l’UE » ne dit qu’il faut fermer les VPN

    • Ce genre d’imbéciles, et je ne parle pas seulement de l’UE, veulent sincèrement empêcher les adolescents de voir du porno et sont prêts pour cela à casser l’infrastructure d’Internet. C’est un signe déprimant du vieillissement de la société
    • Ce titre est aussi le titre exact du chapitre du document concerné
      Globalement, il est vrai que le document traite le sujet de manière équilibrée, mais le choix de cette phrase précise était mauvais et a fourni du carburant à la machine à indignation
      https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/7826...
    • Montrer des êtres humains nus à des enfants est un crime atroce
      Bombarder des enfants, en revanche, pas de problème, et on produit et livre avec joie toutes les armes nécessaires à cela
      Le schéma classique d’une société malade
    • Le « Children's Commissioner for England », ce n’est pas l’UE. Vraiment pas l’UE. Le Royaume-Uni a quitté l’UE après des élections et des années de procédure
    • Il nous faut une nouvelle « loi des titres ». Si un titre dit que l’UE a déclaré quelque chose, alors en réalité ce n’est pas l’UE qui l’a dit

  • Je pense que tout système de vérification d’identité devrait commencer par les bénéficiaires effectifs des entreprises
    Les gouvernements se laissent faire par le lobbying pour permettre aux riches propriétaires d’entreprises douteuses de conserver un anonymat total, tandis que les gens ordinaires se dirigent vers un monde où il faudra montrer une pièce d’identité même pour acheter des courses

    • Oui. Et pire encore, personne ne pousse vraiment les gouvernements vers une vérification d’âge respectueuse de la vie privée
      À la place, les techniciens essaient simplement de convaincre qu’il ne faut rien réglementer du tout, ce qui risque de ne pas fonctionner
    • En tant que personne vivant dans une juridiction qui exige ce type de divulgation, c’est une contrainte importante pour les petites entreprises et cela n’apporte pas grand-chose au grand public
    • Des sociétés écrans pour la classe dirigeante, et toujours moins d’anonymat pour les paysans

  • Ceux qui veulent vraiment bloquer les VPN, ce sont les plateformes de streaming commerciales, surtout dans le sport en direct
    Quel que soit l’État ou le parti au pouvoir, au final, tout tourne autour de l’argent

    • Il faudrait insister davantage sur ce point
      Ce n’est pas seulement un problème de gouvernement. Certaines grandes entreprises qui ont de l’argent poussent aussi discrètement dans ce sens

  • Pourquoi les failles fiscales ne sont-elles pas autant surveillées
    La vérification d’âge obligatoire en ligne me semble nuisible et devrait être interdite

    • D’accord. La vérification d’âge sur le web devrait être interdite à 100 %
      Les parents doivent apprendre à être des parents, et l’État ne doit pas forcer les entreprises à faire l’éducation des enfants à leur place
    • Les « failles » fiscales ne sont que des politiques intentionnelles avec lesquelles vous n’êtes pas d’accord
    • Pourquoi pensez-vous qu’elles ne sont pas surveillées ? Le Double Irish Dutch Sandwich, notamment, a bien été visé par des mesures de répression
    • Pourquoi dites-vous cela ? On vérifie déjà votre âge quand vous renouvelez votre permis de conduire ou quand vous achetez quelque chose sur Amazon, non ?
      Quand j’étais enfant, les programmes pour enfants et la publicité étaient strictement surveillés. Aujourd’hui, n’importe quel enfant peut accéder sur Internet au porno, à la violence et aux arnaques. Le préjudice n’est pas la vérification d’âge, il est là
    • Comment définir une faille fiscale ? Il n’existe pas un acte unique appelé « faille fiscale » ; chacune est en fait une optimisation d’un ensemble de pratiques parfaitement légales, ce qui rend leur définition difficile, et donc leur surveillance aussi
      C’est un jeu sans fin de tape-taupe

  • Si un responsable gouvernemental de l’UE lit ceci, j’ai un message court
    S’il vous plaît, arrêtez de penser aux enfants sur Internet. Il y a des choses bien plus urgentes à faire à la place
    Il faut prélever davantage d’impôts sur les grandes entreprises, taxer davantage les ultra-riches et financer des technologies et infrastructures open source produites dans l’UE
    Il faut permettre aux parents de passer plus de temps avec leurs enfants, afin qu’ils puissent mieux les protéger et les protéger des prédateurs que ne le fera jamais n’importe quelle loi stupide
    Et il faut plus de trains

  • Une question me trotte en tête en permanence
    Pourquoi la vérification d’âge est-elle liée à la vérification d’identité ?
    Je comprends que la première soit impossible sans la seconde, mais l’organisme chargé de la vérification ne pourrait-il pas simplement transmettre le résultat de la vérification d’âge sans autres détails ?
    Est-ce que je me trompe ? Si c’est possible, on devrait pouvoir continuer à utiliser des VPN

    • La vérification « en double aveugle » semble justement fonctionner ainsi
      Le rapport met en avant de nouvelles approches comme le système de vérification en double aveugle utilisé en France. Le site web reçoit uniquement la confirmation que l’utilisateur remplit l’exigence d’âge, sans connaître son identité, tandis que le fournisseur de vérification ne voit pas quel site l’utilisateur visite
    • Au moins dans les cas où, comme l’UE, on cherche à imposer son propre système plutôt qu’à dépendre de tiers indépendants, il faut croire aveuglément que le gouvernement contrôlera l’application de vérification d’âge tout en respectant cela
    • D’un point de vue technique, c’est un problème résolu depuis environ dix ans avec les DID, c’est-à-dire les identités décentralisées, et leurs preuves vérifiables
      Le cadre du portefeuille numérique de l’UE a lui aussi été construit sur cette base, et le scénario que vous décrivez en est un cas d’usage central
      Nous sommes en train de passer du monde académique et de la recherche au monde politique, et les retours d’intérêts commerciaux et les agendas politiques brouillent le jeu
      Voici les liens vers les documents standards. On trouve aussi facilement des vidéos de bonne qualité plus courtes et plus accessibles
      https://www.w3.org/TR/did-1.0/
      https://www.w3.org/TR/vc-data-model-2.0/
      À noter que c’est l’un des sous-produits sains de l’époque blockchain ; mieux vaut ne pas se laisser embarquer par les vidéos exagérées des promoteurs crypto
    • Exactement. Une vérification d’âge préservant la vie privée est possible. J’ai l’impression que la plupart des gens qui s’y opposent très fortement n’en ont tout simplement pas conscience
      La plupart des plaintes qu’on voit ici supposent que vérification d’âge = traçage
      C’est dommage : si les gens s’étaient un peu renseignés avant de se plaindre, on aurait pu avoir une discussion intéressante sur la vérification d’âge respectueuse de la vie privée

  • Les gens ne voient que les VPN de confidentialité destinés au grand public, mais il existe dans l’UE un usage bien plus large des VPN professionnels
    Des tunnels point à point reliant deux sites dans un même réseau, l’accès depuis des ordinateurs portables et appareils mobiles aux ressources de l’entreprise, ou encore le contournement du caractère unidirectionnel du mauvais Internet que beaucoup sont aujourd’hui forcés d’utiliser
    En gros, si vous faites un peu de télétravail, je ne dis pas que vous utilisez forcément un VPN en ce moment, mais c’est probable. Peut-être que même le backend IT des politiciens a sa propre opinion sur la capacité de l’exécutif à regarder un peu trop de près le législatif

  • Les gouvernements ont déjà les informations d’identité de tout le monde, y compris la date de naissance. S’ils disent que le problème est l’accès des mineurs aux sites et services pour adultes, alors les sites doivent simplement savoir si l’utilisateur a plus de 18 ans, ou plus que l’âge fixé par le gouvernement
    Il devrait exister un service/API d’identité gouvernemental standardisé permettant à l’utilisateur d’autoriser le site ou service demandé à ne recevoir que son âge, ou l’information choisie
    Avec une authentification à deux facteurs correcte et une sécurité appropriée, ce serait suffisant
    Les requêtes et réponses pourraient être anonymisées de façon adéquate pour que le gouvernement ne sache pas quel site est consulté et que le site ne connaisse pas l’identité de la personne
    Pourquoi cela n’existe-t-il pas encore ? À ma connaissance, personne ne l’a proposé

    • Cela a été largement discuté, et il existe déjà des implémentations initiales. Le portefeuille numérique de l’UE fait exactement cela. https://ec.europa.eu/digital-building-blocks/sites/spaces/EU...
      En théorie, tous les pays de l’UE devraient bientôt le prendre en charge, et les utilisateurs pourront s’en servir pour prouver leur âge en ligne de manière privée. Il reste du travail avant le déploiement réel, mais la partie technique est déjà en cours et le plan de déploiement semble acté
    • Non. On dirait que vous ne comprenez pas comment fonctionne un gouvernement. Ce ne sera jamais anonymisé, donc c’est une idée affreuse. En pratique, vous proposez de relier les comptes aux passeports
    • La carte d’identité allemande le permet. Elle dispose d’une PKI, et la carte d’identité est une smartcard contenant un certificat et une clé privée [0]
      Elle peut répondre par preuve à divulgation nulle de connaissance à la question « cette personne a-t-elle plus de 18 ans ? ». En fin de compte, cela ne prouve qu’une chose : que vous possédez une carte d’identité valide et connaissez son PIN, mais cela semble suffisant. D’après l’article, la France dispose elle aussi de cette fonction
      [0] https://www.personalausweisportal.de/Webs/PA/EN/government/t..., https://www.bsi.bund.de/EN/Themen/Oeffentliche-Verwaltung/El...
    • Oui. Par exemple, la France le fait ainsi, et plus généralement c’est la direction discutée dans l’UE
    • Oui. Si un gouvernement considère réellement la vérification d’âge comme importante, il devrait fournir l’outil correspondant. Il existe des moyens de le faire sans porter atteinte à la vie privée
      Un service comme le DigiD néerlandais pourrait servir d’excellente base. Celui-là même qu’on essaie de vendre aux États-Unis alors que tout le monde s’y oppose. Il suffirait d’y ajouter un service de vérification d’âge. L’État sait déjà qui vous êtes, au sens juridique le plus strict

  • Il fut un temps où les parents contrôlaient les sites web auxquels leurs enfants pouvaient accéder
    Nous sommes désormais à l’époque où les politiciens contrôlent les sites web auxquels nous pouvons accéder