Vérification de l’âge dans l’UE : où est le problème ? (nulle part)

 (blog.vrypan.net)
1 points par GN⁺ 10 시간 전 | 1 commentaires | Partager sur WhatsApp
  • La vérification de l’âge en ligne dans l’UE ne prend pas par défaut la forme d’un envoi de pièce d’identité ou d’un scan du visage ; elle repose sur une structure qui prouve uniquement le fait nécessaire, si bien que de nombreuses critiques passent à côté du sujet
  • Au lieu qu’un site reçoive le nom, la date de naissance ou le numéro d’identité, l’unité de base est une preuve d’âge signée qui ne vérifie que le respect d’un seuil, comme age >= required_age
  • Si le même justificatif est présenté à plusieurs sites, l’historique de navigation peut être corrélé ; il faut donc réduire cette corrélation par la divulgation sélective ou les preuves à divulgation nulle de connaissance
  • L’EU Age Verification Blueprint utilise des Proof of Age attestations, des relying parties, des attestation providers, des age-verification apps et des trust lists, et s’articule avec l’architecture du European Digital Identity Wallet
  • La protection de la vie privée n’est pas garantie par la seule conception : il faut éviter les échecs d’implémentation comme la réutilisation d’identifiants stables, les appels en temps réel à l’émetteur, les journaux centralisés, la télémétrie du wallet, le fingerprinting ou les implémentations fermées

Le cœur du débat sur les restrictions d’âge

  • Le débat sur la vérification de l’âge en ligne mêle, indépendamment de la mise en œuvre technique, une position qui refuse les restrictions d’âge elles-mêmes
  • Dans cette perspective, aucune conception respectueuse de la vie privée ne peut vraiment constituer une solution suffisante
  • Les enfants et adolescents de 9, 10 ou 14 ans ne sont pas prêts à affronter seuls des risques comme la manipulation, les boucles addictives, les contenus sexuels, les mécaniques de jeu d’argent, le grooming, le harcèlement ou la radicalisation algorithmique
  • Les parents peuvent fixer des limites strictes aux jeunes enfants, mais à l’adolescence, il faut aussi des espaces pour agir, décider et dialoguer avec d’autres de manière indépendante
  • La société applique déjà des restrictions d’âge à la conduite, à l’alcool, aux jeux d’argent et à l’accès à certains lieux ; le même principe peut s’appliquer à certaines zones d’Internet
  • La question la plus difficile n’est pas tant la légitimité des restrictions d’âge que la manière de les faire respecter sans transformer Internet en poste de contrôle d’identité

Les risques de surveillance créés par les mauvaises méthodes

  • Si la vérification de l’âge en ligne est mise en œuvre au moyen de scans de pièces d’identité, d’envois de passeports, de selfies ou de scans du visage, les risques pour la vie privée augmentent
  • Pour prouver sa majorité à un site pornographique, à un site de jeux d’argent, à une boutique d’alcool en ligne ou à un forum religieux, il ne devrait pas être nécessaire de transmettre son nom, sa date de naissance, son numéro d’identité, son visage, son adresse ou son passeport
  • Se connecter via un tiers de confiance crée aussi d’autres problèmes
    • Si une banque, Google, Apple, un opérateur mobile ou un service d’identité gouvernemental se charge de l’authentification, il n’est pas nécessaire de transmettre des documents au site web
    • En revanche, le fournisseur d’identité apprend quels sites soumis à une restriction d’âge l’utilisateur consulte
  • Dans un cas, le site web connaît l’identité de l’utilisateur ; dans l’autre, le fournisseur d’identité connaît les sites qu’il visite. Les deux sont donc risqués

Une meilleure unité de base : la preuve d’âge signée

  • Une meilleure conception commence par ne prouver que le fait qui doit l’être
  • Le site web n’a pas besoin de connaître le nom de l’utilisateur, sa date de naissance, son numéro d’identité, ni son âge exact — 19, 37 ou 74 ans
  • La seule information nécessaire est de savoir si la condition suivante est remplie
age >= required_age
  • L’analogie hors ligne serait une carte officielle ne portant que la mention « over 18 », présentée à l’entrée d’un lieu soumis à une restriction d’âge
    • Un bureau administratif vérifie l’âge à partir d’un passeport ou d’une carte d’identité nationale
    • La carte émise n’affiche qu’un seul fait, comme « 18 ans ou plus »
    • L’exploitant du lieu vérifie seulement l’authenticité de la carte et ne connaît ni le nom, ni la date de naissance, ni le numéro d’identité
  • La version numérique met en œuvre la même structure par la cryptographie
    • Un émetteur agréé vérifie l’âge une fois
    • Il émet ensuite un justificatif signé
{
  "claim": "age_over_18",
  "value": true,
  "issuer": "Trusted Age Attestation Provider",
  "valid_until": "2027-12-31"
}

signature = Sign(issuer_private_key, attestation)
Verify(issuer_public_key, attestation, signature)
  • La propriété importante est que le site web n’a pas besoin de contacter l’émetteur à chaque fois
    • Le site vérifie seulement que la preuve a été signée par un émetteur de confiance et qu’elle est encore valide
    • L’émetteur ne sait pas où l’utilisateur a utilisé la preuve, ni même s’il l’a effectivement utilisée

La structure de l’approche européenne

  • Le cœur de l’EU Age Verification Blueprint est une architecture fondée sur les Proof of Age attestations
  • Le système se compose de relying parties, d’attestation providers, d’age-verification apps et de trust lists
  • Cette approche est alignée sur l’architecture du European Digital Identity Wallet
  • L’utilisateur peut prouver qu’il a dépassé un certain âge sans révéler son âge exact ni son identité
  • Documents associés
    • EU Age Verification Solution : un système aligné sur le Digital Services Act, eIDAS 2.0 et le European Digital Identity Wallet Architecture and Reference Framework, utilisant des formats de preuve, des protocoles et des liaisons avec des modèles de confiance pour l’interopérabilité
    • Commission age-verification blueprint : permet à l’utilisateur de prouver qu’il a 18 ans ou plus pour des contenus adultes restreints sans divulguer d’autres données personnelles ; il repose sur des technologies open source et est conçu pour être interopérable à terme avec le European Digital Identity Wallet
    • EU-wide age verification common approach : permet à l’utilisateur de prouver qu’il dépasse un âge donné, comme 15, 18 ou 65 ans, sans révéler son âge exact ni son identité

Divulgation sélective et preuves à divulgation nulle de connaissance

  • Une preuve signée vaut mieux que l’envoi d’une pièce d’identité à chaque site, mais si le même justificatif est présenté à plusieurs sites web, une corrélation des visites peut apparaître
  • Même sans nom, plusieurs sites peuvent relier le fait que le même adulte anonyme a visité le site A, le site B et le site C
  • Une méthode plus robuste consiste à utiliser la divulgation sélective ou des preuves à divulgation nulle de connaissance
  • Le wallet ne montre pas directement la preuve de base, mais prouve les propositions suivantes
    • Il détient une Proof of Age attestation valide signée par un émetteur de confiance
    • Cette preuve satisfait age >= 18
  • Les documents techniques de l’UE traitent de la génération de preuves zkSNARK à partir d’une Proof of Age attestation
    • L’application encode la preuve comme entrée privée du circuit
    • Elle utilise des entrées publiques, comme la clé publique de l’attestation provider
    • Elle génère une zkSNARK proof vérifiable
  • Avec cette approche, il ne s’agit pas de présenter « voici mon ID », « voici ma date de naissance » ou « voici mon justificatif d’âge signé », mais une « preuve cryptographique que je détiens un justificatif valide prouvant que j’ai 18 ans ou plus »
  • Documents associés
    • EU ZKP technical annex : encode la Proof of Age attestation comme entrée privée et n’expose que des entrées publiques de vérification, comme la clé publique de l’attestation provider, afin de générer une zkSNARK proof
    • Verifier developer guide : l’attestation mdoc standard est une preuve signée indiquant que l’utilisateur atteint le seuil d’âge, tandis que la ZKP est un format de preuve amélioré offrant une protection plus forte de la vie privée et l’absence d’identifiants corrélables

Les conditions d’implémentation qui brisent la protection de la vie privée

  • Même une architecture respectueuse de la vie privée ne tient pas ses promesses si elle est mal implémentée
  • Les conditions suivantes peuvent briser les garanties de confidentialité d’une approche à l’européenne
    • Des identifiants stables réutilisés entre sites web
    • Une architecture qui contacte l’émetteur à chaque vérification d’âge
    • Des journaux centralisés des événements de vérification
    • Une télémétrie du wallet enregistrant quelle relying party a demandé la preuve
    • Des sites web qui exigent plus d’attributs que nécessaire
    • Une sécurité faible du wallet
    • Une mauvaise UX qui pousse l’utilisateur à partager trop d’informations
    • Le fingerprinting du navigateur ou de l’appareil qui relie entre elles des preuves anonymes
    • Une vérification de révocation qui révèle où le justificatif est utilisé
    • Des implémentations nationales fermées et non auditées
  • Le débat sur la protection de la vie privée ne doit donc pas viser à s’opposer par principe aux systèmes de vérification de l’âge, mais à y intégrer les contrôles nécessaires pour que l’implémentation réelle respecte cette architecture

À lire aussi

1 commentaires

 
GN⁺ 10 시간 전
Avis sur Lobste.rs

  • Il y a un point sur lequel je suis entièrement d’accord avec cet article : si l’on s’oppose par principe à la vérification de l’âge, aucune solution ne pourra être satisfaisante. Ça me paraît juste.

    • En supposant qu’elle soit mise en œuvre de manière totalement respectueuse de la vie privée, quel serait selon vous l’argument le plus fort contre la vérification de l’âge ?
    • Je ne suis pas opposé par principe à l’absence de vérification de l’âge, mais je ne pense pas non plus que toutes les solutions soient bonnes.
      Cela dit, l’approche de l’UE me semble correcte. J’aimerais qu’elle devienne obligatoire aussi vite que possible, même si je reconnais que, pour des raisons pratiques, cela pourrait ne pas arriver.

  • Le billet de blog s’appuie sur des espaces en ligne qui nuisent aux gens — manipulation, boucles d’addiction, mécanismes proches du jeu d’argent, grooming, harcèlement, radicalisation algorithmique — et il reconnaît lui-même que ces choses sont également nocives pour les adultes.
    Mais je ne comprends pas pourquoi il serait préférable, au lieu d’interdire directement par la loi les comportements nuisibles pour aider tout le monde, d’utiliser l’âge comme indicateur indirect de vulnérabilité pour exclure les adolescents de certains espaces contrôlables, les éloigner des communautés et des ressources, et priver des groupes vulnérables, notamment les jeunes queer, d’espaces importants ou les pousser vers des espaces hors de contrôle.
    Un blog qui commence par un faux dilemme juste après avoir qualifié les critiques « d’ignorantes ou délibérément trompeuses », c’est vraiment quelque chose.

    • Avec le blocage au niveau des FAI et la vérification de l’âge pour les VPN, j’ai l’impression que ces espaces hors de contrôle disparaîtront en grande partie.
      Ce qu’il y a de plus agaçant dans le débat sur la vérification de l’âge, c’est que presque personne ne parle de la cause profonde. Le problème, ce sont les entreprises de ces techno-féodaux qui rendent enfants et adultes accros à des stimulations dopaminergiques continues.
      Plutôt que d’instaurer la vérification de l’âge, je pense qu’il faudrait rendre illégaux les flux algorithmiques optimisés pour l’addiction, comme YouTube Shorts, TikTok ou Facebook. Ils sont nocifs pour les enfants comme pour les adultes, et ils déchirent le tissu démocratique en normalisant mensonges, fausses informations, polarisation, etc.
      Il ne faut plus permettre à des acteurs de gagner des milliards en détruisant la société.
    • On ne peut pas interdire tout ce qui peut être nocif. Socialement, on accepte généralement que les adultes puissent faire leurs propres choix.
      Prenons le jeu d’argent ou l’alcool : en Norvège, l’État peut essayer de décourager ces activités nocives en les taxant davantage et en les rendant moins pratiques, tout en finançant aussi des services d’aide pour les personnes en difficulté. Une interdiction totale aurait provoqué une réaction de rejet et déplacé ces activités vers un marché illégal.
      On préfère donc laisser les adultes choisir eux-mêmes, même si certains en subissent des dommages. En revanche, il est généralement admis que les enfants ne sont pas encore pleinement développés et doivent être protégés contre des choix qui leur nuisent. À mesure qu’ils grandissent, on leur permet de prendre davantage de décisions et d’assumer dans une certaine mesure de petits préjudices.
      C’est pourquoi, dans le monde réel, les enfants ne peuvent pas acheter d’alcool ni de tickets de loterie instantanée.
      Je pense que certaines parties du monde en ligne devraient être mieux régulées, y compris pour les adultes. Mais certains domaines devraient être interdits aux enfants tout en étant absurdes à interdire aux adultes.
    • L’expression « ignorantes ou délibérément trompeuses » vise les cas où l’on dit ou sous-entend que la vérification de l’âge se fera en présentant une pièce d’identité, comme dans les exigences KYC actuelles.
      Il existe très peu d’articles expliquant les technologies utilisées dans chaque cas, et les solutions de l’UE, du Royaume-Uni et des différents États américains sont assez différentes sur le plan technique.

  • Et si l’on rendait les plateformes en ligne responsables des dommages qu’elles causent aux personnes ? Et si on les rendait responsables de la haine, de la misogynie, de la radicalisation ?
    Si les plateformes n’hébergeaient pas tous les contenus et cessaient d’optimiser l’engagement ou l’indignation pour maximiser les clics et l’interaction publicitaire, Internet ne serait peut-être pas aussi nocif pour les gens — pas seulement pour les enfants, mais pour tout le monde.

    • Les plateformes en ligne bénéficient de clauses d’exemption de responsabilité comme la section 230 du Communications Decency Act aux États-Unis. Des dispositifs similaires existent ailleurs, et cette disposition a servi de modèle à beaucoup d’entre eux.
      Il faut repenser ce qui relève de ce type de plateforme. La logique initiale était qu’elles se contentaient de fournir du contenu généré par les utilisateurs et qu’elles n’étaient donc pas responsables tant qu’elles supprimaient les contenus nuisibles après signalement.
      Mais est-ce toujours le cas si l’algorithme du fil décide quoi montrer ? Qu’il s’agisse d’une décision humaine ou algorithmique, je pense que ce type de décision éditoriale devrait aussi entraîner une responsabilité éditoriale.
    • Je pense qu’elles devraient être responsables. Mais ici, on semble ne penser qu’aux plateformes de réseaux sociaux.
      Il existe aussi des services et plateformes en ligne qui ne sont pas illégaux, mais ne conviennent pas aux enfants. Par exemple les sites de paris, ou des contenus inadaptés à un enfant de 9 ans. En tant que parent, il y a beaucoup de cas où il faut dire « ce n’est pas encore pour toi », et au cours des dix dernières années, ces cas se sont de plus en plus déplacés en ligne.
    • Encore faudrait-il entraîner les États-Unis, et cela semble peu probable. Si l’on essaie de bloquer les dommages venant des États-Unis, on risque des menaces de droits de douane, voire des choses comme des enlèvements.
      Cela ne veut pas dire que ça ne vaut pas la peine d’essayer, mais un problème aussi complexe doit être attaqué simultanément par plusieurs angles.

  • Si je m’oppose par principe à l’idée que « la vérification de l’âge ne devrait pas exister », c’est précisément parce que je pense qu’il ne peut pas y avoir de solution technique adéquate.
    De plus, beaucoup de dommages causés par Internet visent tout le monde, pas seulement les enfants, et cela transfère encore davantage la charge de la régulation des contenus vers les consommateurs.
    La vérification fondée sur des attestations n’est excellente que si l’on suppose que tout le monde est documenté, a toujours accès à ces documents, possède un appareil « suffisamment sûr » pour traiter cette preuve, se connecte à des sites web reconnus comme autorisés à utiliser cette preuve, et a reçu une éducation suffisante pour comprendre si la demande de document est légitime.
    Toute solution technique que nous normalisons sera exploitée par les entreprises technologiques et les escrocs. Cela s’est déjà produit par le passé, sans coût réel pour eux. Les lobbyistes s’en serviront aussi pour restreindre le champ des services et appareils « acceptables ».

  • Ajouter de la cryptographie par-dessus ne rend pas le système sûr. Toutes les propositions qui invoquent « pensez aux enfants » finissent aussi par prendre en compte « l’enfant qui a volé la pièce d’identité de ses parents », ce qui conduit au bout du compte les sites web à enregistrer des photos.
    Le libellé peut se limiter à quelque chose comme « reconnaissance d’image pour vérifier le propriétaire », sans dire qu’il y a enregistrement. Mais dès qu’un site est poursuivi pour ne pas avoir vérifié correctement, ou pour une vérification jugée insuffisante, il lui faut des enregistrements.
    Il existe bien des mesures possibles, mais ce n’est pas le cœur du sujet. La censure fonctionne de deux manières : soit elle oblige les sites à identifier les utilisateurs, les rendant traçables ; soit elle rend l’exploitation même d’un site trop coûteuse et trop risquée.
    Il suffit de voir les homophobes utiliser l’argument pourri de « protéger les enfants ».
    Exiger une pièce d’identité rend difficile, voire impossible, pour des enfants d’accéder à des contenus qui ne les présentent pas comme des criminels malades. Désormais, exploiter un site implique d’assumer les coûts de sécurité nécessaires pour conserver en sécurité les informations qui serviront à se défendre, ainsi que les coûts de procès pour n’avoir pas censuré suffisamment.
    Un raisonnement mathématique qui ne traite pas l’étape « prouver que la pièce d’identité présentée appartient bien à cet utilisateur » saute l’étape la plus importante de tout le processus.

  • Si j’ai plus de 18 ans, est-ce que je peux obtenir cet ID et signer arbitrairement les requêtes que je veux ? Si oui, cette méthode préserve la vie privée, mais elle est inefficace.

    • À l’échelle macro, je pense que la simple énergie d’activation consistant à « devoir embêter son grand frère ou sa grande sœur pour créer un compte TikTok » suffirait à réduire significativement l’usage. Est-ce assez pour justifier les autres effets négatifs ? Probablement pas.
    • Ce genre d’articles semble vouloir oublier que la partie difficile n’est pas de relier un nombre à une personne, mais de vérifier, au moment où ce nombre est présenté pour la première fois, que l’on a bien affaire à la personne que cet ID représente.
    • C’est possible. Mais pour rendre cela plus difficile, ils sortiront l’attestation à distance et d’autres technologies de DRM. Il deviendra alors impossible d’implémenter un portefeuille alternatif, ou de le faire tourner sur des plateformes non mainstream.
      En pratique, il y aura une obligation légale d’accepter les conditions de Google et d’Apple, et de posséder un smartphone de cet oligopole, pour pouvoir utiliser les réseaux sociaux. À l’avenir, ce système sera étendu à d’autres services où il sera jugé utile, comme le porno, les jeux vidéo en ligne ou la location de films.
      Si Google vous bloque, c’est terminé. Si vous utilisez Linux, c’est terminé aussi.
    • Dans la dernière proposition européenne que j’ai consultée, il s’agissait de recevoir en une seule fois un lot de signatures d’une institution de confiance, par exemple un service administratif citoyen.
      Si je me souviens bien, l’idée était de ne pas rendre indispensable un portefeuille de confiance sur un OS approuvé ; en théorie, on pourrait aussi faire comme avec PostIdent : présenter sa pièce d’identité à la poste et recevoir des signatures stockées dans un fichier chiffré.
      Par exemple, on reçoit 1000 signatures, chacune valable une seule fois. Si on en a besoin de plus, on récupère un nouveau lot. Chaque signature préserve la vie privée.

  • Les enfants savent très bien obtenir ce qu’ils veulent. En demandant suffisamment de fois, quelqu’un finira par le faire.

    • Certains, oui, mais cela ne veut pas dire pour autant qu’il faudrait, par exemple, vendre directement de l’alcool à tous les enfants.
      Personnellement, je ne pense pas que tous les enfants soient motivés de la même manière, qu’ils aient les mêmes objectifs, ou qu’ils puissent fournir le même niveau d’effort pour des objectifs de long terme.

  • Sur le principe, je ne suis pas vraiment en désaccord avec le billet, et je suis d’accord qu’il serait souhaitable d’avoir un système de vérification d’âge préservant la vie privée. Mais je suis vraiment, vraiment sceptique quant à sa bonne mise en œuvre dans le monde réel.
    L’auteur a d’ailleurs eu la gentillesse d’ajouter à la fin de l’article une liste de problèmes d’implémentation susceptibles de porter atteinte à la vie privée. Si la vérification d’âge devient une obligation légale, je crains fortement qu’une partie, voire la totalité, de ces problèmes soient acceptés au nom de la rapidité et de la protection des mineurs.
    Si l’on considère qu’un mauvais système de vérification d’âge est pire que l’absence totale de vérification d’âge — et c’est aussi mon avis —, alors je pense qu’il est politiquement plus réaliste de s’opposer au concept dès le départ plutôt que d’essayer de faire passer une ligne aussi subtile.

  • « Les enfants de 9, 10 ou 14 ans ne sont pas prêts à parcourir sans restriction l’Internet ouvert. »
    Nous ne devrions pas priver les générations futures de ce qui a été l’une des meilleures parts de l’enfance et de l’adolescence, celle qui a conduit beaucoup d’entre nous jusqu’ici.
    À partir de 1993, quand j’avais 12 ans, j’ai navigué sans restriction sur des BBS locaux reliés à d’autres BBS par des réseaux du type FIDOnet ; à partir de 1995, quand j’avais 14 ans, j’ai utilisé l’Internet ouvert sans restriction. Si ma mère m’avait acheté plus tôt un PC avec modem, j’aurais peut-être commencé les BBS encore plus tôt.
    Supprimons donc les boucles addictives, les mécanismes assimilables au jeu d’argent et la radicalisation algorithmique pour tout le monde, et laissons les bonnes parties d’Internet ouvertes à tous sans restriction. Les générations futures pourront alors avoir quelque chose de meilleur que ce que nous avons eu.

    • Tu veux dire créer un Internet pour les enfants ? Si c’est ça, je suis pour.

  • Avec les seules preuves à divulgation nulle de connaissance, rien ne m’empêche de prouver que tous les habitants de l’UE ont 39 ans. Pour atténuer cela, il faut en pratique une preuve d’identité et une preuve d’appareil, et la pente glissante est intégrée à la technologie elle-même.
    Cette forme d’architecture convient à la validation de paiements ou à la signature de documents juridiques, parce que j’ai un intérêt fort à ne pas laisser n’importe quel tiers payer avec mon argent ou signer un contrat en mon nom.
    Mais pour une preuve d’âge, je ne perds rien à prouver quelque chose à la place de quelqu’un d’autre.