1 points par GN⁺ 4 시간 전 | 1 commentaires | Partager sur WhatsApp
  • Au moment de l’ouverture de la discussion, le README des spécifications techniques mentionnait une vérification de l’app et de l’appareil au moyen de Google Play Integrity API et Apple App Attestation ; des objections ont été soulevées, estimant qu’en faire un prérequis de la vérification de l’âge créerait une dépendance envers des plateformes américaines et certains systèmes d’exploitation mobiles
  • Exiger une attestation d’un fournisseur précis exclurait les appareils sans logiciels Google ou Apple, les distributions Android alternatives et les utilisateurs sans smartphone, et entrerait en conflit avec les principes d’accessibilité et d’interopérabilité selon lesquels le service doit être utilisable par tous, contrôlé par l’utilisateur et compatible avec plusieurs systèmes d’exploitation et wallets
  • Des alternatives ont été évoquées, comme Yivi, l’attestation matérielle Android standard, des apps web fondées sur la Digital Credentials API, une approche où un fournisseur national d’identité signe un défi à usage unique, ou Unified Attestation ; mais Yivi et Unified Attestation ont aussi suscité des contre-arguments, car la confiance y est concentrée respectivement dans un émetteur central et un service biométrique externe, ou dans un autre fournisseur d’attestation
  • Plusieurs problèmes liés à Play Integrity dans le wallet numérique italien, ainsi que la dépendance à un compte Google et à une ROM officielle, ont été cités comme exemples ; des critiques sur l’efficacité ont aussi été formulées, car des attaquants peuvent contourner l’attestation ou faire scanner un QR code par quelqu’un d’autre, ce qui risque de ne limiter que les utilisateurs légitimes
  • La demande centrale est que les services publics reposent sur des standards ouverts que n’importe qui peut implémenter, plutôt que sur la technologie d’entreprises spécifiques ; dans la discussion fournie, aucune décision officielle ni résolution finale n’apparaît concernant l’intégration des attestations Google et Apple

Vérification proposée des apps et des appareils, et principales objections

  • Au moment de l’ouverture de la discussion, le README indiquait comme étape suivante une « vérification des apps et des appareils fondée sur Google Play Integrity API et Apple App Attestation »
  • Le point de départ était la crainte qu’en reliant la vérification de l’âge à ces services, la dépendance de l’UE envers des entreprises technologiques américaines et le pouvoir des États-Unis sur Internet augmentent encore
  • Certains ont estimé qu’au nom de la souveraineté numérique, il faudrait éviter toute dépendance à des services tiers externes, chaque dépendance ajoutée créant aussi tout un écosystème de problèmes de sécurité potentiels
  • Par la suite, un participant a répondu que cette formulation ne figurait plus dans le README, mais le texte fourni ne précise ni les circonstances du changement ni une décision officielle
  • Cette discussion a été convertie en Discussion le 31 juillet 2025 depuis l’issue #18, et le texte ne mentionne aucun résultat final d’adoption ou de retrait

Accessibilité, contrôle par l’utilisateur et interopérabilité

  • Une vérification de l’âge liée à des systèmes d’exploitation et fournisseurs précis a été critiquée comme contraire aux principes affichés par l’organisation :
    • être proposée à toute personne souhaitant l’utiliser
    • être contrôlée par l’utilisateur
  • Le principe d’interopérabilité des spécifications techniques exige une intégration fluide entre divers systèmes d’exploitation d’appareils, apps de wallet et services en ligne ; il a donc été souligné qu’une conception dépendant d’attestations propres aux fournisseurs Android et iOS n’y correspond pas
  • Les utilisateurs qui n’utilisent pas les logiciels de Google ou d’Apple, les personnes équipées de téléphones non Google nombreuses dans le sud de l’Europe, les utilisateurs de ROM alternatives ou de microG, ainsi que les personnes sans smartphone pourraient se retrouver exclus
  • Des questions ont suivi : une personne n’utilisant qu’un Nokia 3310 ou un ordinateur portable pourrait-elle y accéder, et peut-on faire d’un smartphone, d’un compte Google et d’un appareil chargé des conditions d’accès aux services aux citoyens ?
  • Il a aussi été critiqué que, même si le code est publié en open source, si tous les participants imposent l’attestation, un fork modifié ne sera pas reconnu par les services réels, ce qui fait disparaître la possibilité effective de forker

Implémentations existantes et exemples liés à Play Integrity

  • L’app d’identité néerlandaise Yivi, utilisable pour une vérification de l’âge gouvernementale sans dépendance à Google, a été citée comme alternative
    • Son ancien nom est IRMA, et elle est aussi disponible dans des stores d’apps open source comme F-Droid
    • Le fait qu’elle puisse, sur certaines plateformes prises en charge, servir à une vérification de l’âge gouvernementale a été présenté comme une preuve que Play Integrity n’est pas indispensable
  • Toutefois, l’enregistrement d’un passeport NFC dans Yivi n’est pas non plus une architecture sans dépendance
    • Les groupes de données NFC brutes sont transmis à un serveur émetteur central
    • L’intégralité de la MRZ de DG1 et l’image du visage de DG2 sont obligatoires, et le serveur extrait le nom, le numéro de document, la nationalité, la date de naissance et le sexe
    • La correspondance faciale utilise l’API tierce de Regula
    • Même si les données sont traitées temporairement et que l’émetteur peut être auto-hébergé, un contre-argument affirme qu’il s’agit d’une autre forme de concentration de confiance centrale, différente de l’attestation d’appareil
  • Dans le wallet numérique italien, de nombreux problèmes concrets liés à Play Integrity ont été reliés à la discussion
  • Des discussions distinctes ont aussi été liées pour le wallet Android EUDI, proposant de supprimer l’exigence Google Play Integrity ou d’utiliser une API standard d’attestation matérielle Android n’imposant pas de licence Google Mobile Services

Alternatives sans app

  • Certains ont estimé qu’il fallait d’abord examiner si une app native séparée est nécessaire et quel est le modèle de menace réaliste
  • Une piste proposée consiste à implémenter le système sous forme d’app web moderne utilisant la Digital Credentials API, afin d’éviter une architecture où il faut « installer une app pour chaque service »
  • Une approche basée sur le navigateur, où un fournisseur national d’identité signe un défi aléatoire à usage unique, a aussi été proposée concrètement :
    1. L’utilisateur accède à un site web soumis à une restriction d’âge
    2. Le site web détecte qu’il s’agit d’un visiteur de l’UE
    3. Il télécharge un fichier contenant une chaîne aléatoire
    4. Il redirige l’utilisateur vers le site gouvernemental de vérification de l’âge
    5. L’utilisateur se connecte via son fournisseur national d’identité et téléverse le fichier
    6. Le service gouvernemental signe le défi et le renvoie au navigateur
    7. L’utilisateur téléverse le fichier signé sur le site d’origine
    8. Le site web vérifie que la signature provient d’une autorité de confiance
  • Comme le défi est à usage unique, il n’est pas nécessaire de protéger durablement le résultat signé ; l’approche a été décrite comme similaire à l’authentification SSH ou WebAuthn
  • Une autre proposition #18, consistant à utiliser des justificatifs nationaux sur un site web contrôlé par l’UE, a également été citée comme alternative

Unified Attestation et problème de concentration de la confiance

  • Unified Attestation, de l’allemand Volla Systeme GmbH, a été proposé comme alternative gratuite et open source à Google Play Integrity
    • Un backend unique émet des jetons d’intégrité à courte durée de vie
    • Le serveur de l’app vérifie les jetons hors ligne
    • Un service système Android autorisé demande les jetons
    • Il a été présenté comme pouvant fonctionner en parallèle de Play Integrity et comme simple à intégrer côté app comme côté serveur
  • Le contre-argument est qu’Unified Attestation ne fait que transférer le même pouvoir de Google à un autre groupe d’entreprises, sans résoudre le problème fondamental d’une autorité d’attestation centrale
  • La demande s’est poursuivie : plutôt que de remplacer la technologie d’une entreprise par celle d’une autre, les systèmes publics devraient s’appuyer sur des standards ouverts que n’importe qui peut implémenter et intégrer

Conflit entre attestation matérielle et open source

  • Play Integrity a été critiqué parce qu’il exige de fait une ROM officielle, Google Play Services et des appareils approuvés par le fournisseur, ce qui affaiblit le droit de l’utilisateur à contrôler directement le matériel et les logiciels qu’il possède
  • Même si le code source de l’app est librement publié, si les builds modifiés ne passent pas l’attestation, l’utilité pratique des builds reproductibles et des forks s’en trouve limitée
  • Un élément de travail lié a été partagé, indiquant que l’implémentation allemande semble ne pas prévoir de fournir des builds reproductibles
  • Avec l’idée que cette orientation pourrait avoir été influencée par les recommandations OWASP MASVS Resilience, une discussion critique OWASP/masvs#757 a aussi été liée
  • Certains ont comparé le risque d’enfermer les services publics dans une technologie, un système d’exploitation ou un app store spécifique à l’ancienne dépendance de la Corée du Sud à IE6, qui avait créé un verrouillage difficile à abandonner sur le long terme

Efficacité sécuritaire et possibilités de contournement

  • La question a été posée de savoir si la menace que l’attestation matérielle cherche à bloquer est réellement réaliste
  • Même si l’on vise des services automatisés de vérification d’identité ou des attaquants, les méthodes de contournement de l’attestation peuvent réapparaître après correctif, ce qui risque de n’imposer des contraintes qu’aux utilisateurs légitimes
  • Un exemple a été donné : si un mineur veut accéder à un site restreint, il peut demander à quelqu’un d’autre de scanner un QR code à sa place, et l’attestation d’appareil ne résout pas ce cas
  • Des inquiétudes ont aussi été formulées quant à la vente de comptes vérifiés ou à l’authentification par procuration, qui peuvent exister avec ou sans attestation
  • L’avis exprimé est que, si les personnes techniquement capables de contourner le système le feront de toute façon tandis que seuls les utilisateurs légitimes ne voulant pas d’appareils Google ou Apple, ou de smartphone, seront bloqués, il vaut mieux ne pas mettre en place cette mesure de sécurité

Opposition à la vérification de l’âge elle-même

  • Certains participants ont estimé qu’au-delà du choix de Play Integrity, la vérification stricte de l’âge en ligne elle-même n’est pas utile
  • Une discussion séparée a été liée, proposant d’encourager les parents à utiliser les filtres côté client déjà présents sur les smartphones
  • Des craintes ont aussi été exprimées : une vérification obligatoire de l’âge pourrait pousser les adolescents vers Tor ou d’autres moyens de contournement
  • L’avis a été formulé que si l’on cause de lourds dommages à la vie privée, à l’accessibilité et au contrôle de l’informatique pour ne résoudre qu’un seul problème, il ne faudrait tout simplement pas l’implémenter
  • Dans le périmètre de la discussion fournie, aucune conclusion officielle définitive n’est confirmée concernant l’app de vérification de l’âge, la méthode d’attestation des appareils ou l’intégration de Google et Apple

1 commentaires

 
GN⁺ 4 시간 전
Avis sur Hacker News
  • C’est le problème central qui est pourtant ignoré dans l’immense débat de l’UE sur la souveraineté numérique. Les institutions européennes commencent certes à accepter l’idée qu’il faudra finir par quitter le cloud américain, mais le coût est énorme, et beaucoup espèrent encore revenir à l’ancien modèle
    En revanche, il n’y a presque aucun intérêt pour les plateformes mobiles. Il n’existe pas d’alternative comparable à Linux sur desktop, aucun financement n’est accordé aux alternatives existantes, et il n’y a même pas de débat sur l’idée d’imposer que, pour vendre des téléphones Android dans l’UE, les fabricants publient le firmware et autorisent l’installation de systèmes d’exploitation alternatifs. Sur le backend, on comprend à peu près ce que signifie la souveraineté, mais il semble qu’il faille encore bien plus de pédagogie sur l’asservissement numérique créé par les terminaux des utilisateurs

    • Ce n’est pas tout à fait exact. Je connais des gens qui participent à deux projets de logiciel libre visant à créer des systèmes d’exploitation mobiles viables, et ils sont désormais financés, ce qui n’était pas le cas auparavant
      Ils doivent encore composer avec le lobbying des entreprises d’IA, pour lesquelles une IA souveraine est plus importante qu’un système d’exploitation mobile, mais l’intérêt progresse. Une alternative à Android basée sur Linux n’est peut-être pas si difficile en soi, mais il est difficile de convaincre les fabricants de matériel de produire des appareils dédiés. Les gouvernements devraient sans doute d’abord pousser cela avec des appareils publics sécurisés
    • Ils pourraient aussi financer des projets comme Jolla ou Sailfish
    • Le mobile est une réalisation qui, du point de vue de l’interface et de l’expérience utilisateur, relève presque de l’alunissage ou des merveilles du monde. Cela ne veut pas dire que c’est impossible à reproduire, mais il faut vraiment respecter l’extrême difficulté de créer une plateforme mobile réellement utilisable
    • AOSP ne pourrait-il pas être une alternative ?
    • Tout cela relève de dynamiques politiques. Le renforcement de la soi-disant souveraineté de l’UE ressemble en réalité davantage à un transfert supplémentaire des compétences et du contrôle des États membres vers l’UE, affaiblissant ainsi la souveraineté nationale
      Le portefeuille d’identité numérique fait lui aussi perdre aux États membres le contrôle de leur infrastructure d’identité au profit de l’UE. Il ne reste alors presque plus de souveraineté au niveau national
  • Il ne faut pas tomber dans le piège qui consiste à chercher un moyen technique d’imposer la vérification de l’âge à tout le monde. La première question à poser est pourquoi on veut l’imposer à tous, alors que ni vous ni moi n’y avons jamais consenti

    • Les responsables politiques disent que c’est nécessaire pour protéger les enfants, donc ce doit être vrai, et s’y opposer mettrait les enfants et la démocratie en danger, sans qu’il existe d’alternative
      Il y a un grave problème dans une structure de gouvernance où les politiques continuent de transformer tout le monde qui nous entoure sans donner de véritable voix aux citoyens. Cette mesure représente une menace majeure pour Internet et pour la société, et pourtant elle avance sans réel débat ni résistance. Une véritable démocratie ne devrait pas fonctionner ainsi
    • Au cours des deux dernières semaines, la nouvelle procédure a empêché de nombreuses personnes, moi y compris, d’utiliser Twitter. Il faut soit ouvrir tous les liens dans un onglet privé, soit livrer ses données biométriques à un milliardaire. Quitter Twitter n’est efficace que si cela se fait collectivement ; seul, on ne règle rien
      https://old.reddit.com/r/Twitter/comments/1uk6a98/lets_confi...
    • Les représentants élus par les Européens ont donné leur accord. Le vote a donné 483 voix pour et 92 contre
    • L’UE fait énormément de choses auxquelles personne n’a consenti et sur lesquelles il est en pratique très difficile d’exercer une influence démocratique. Je vis au Royaume-Uni et j’étais fermement opposé au Brexit, mais même si le Royaume-Uni était resté dans l’UE, je n’aurais pas su comment influer sur ce qui se décide à huis clos au sein de la Commission européenne
      Aujourd’hui, les travaillistes comme les conservateurs britanniques sont eux aussi hors de contrôle sur ce genre de sujets, mais au moins, en théorie, je sais comment essayer d’influencer la politique
    • Je suis moi aussi entièrement d’accord, mais dans ce type de structure de pouvoir, le consentement des citoyens a rarement eu une réelle importance
  • Je suis entièrement d’accord avec l’argumentaire de l’issue GitHub, mais il ne faut pas forcément considérer avec scepticisme l’idée même d’une application de vérification de l’âge délivrée par l’État. Le système actuel est bien pire
    Mon fils de 13 ans crée des jeux Roblox, et depuis quelques mois il doit vérifier son âge pour partager ses jeux avec ses amis. Sur Roblox, cela signifie transmettre un modèle 3D de son visage à une obscure entreprise américaine, qui promet simplement de le supprimer plus tard. Je ne veux pas confier les données biométriques de mon enfant ou son passeport à une entreprise technologique américaine capable de les revendre arbitrairement
    Je préférerais une application publique garantissant la protection de la vie privée, sans incitation commerciale à vendre les données, et permettant de vérifier quelles informations sont transmises à des entreprises comme Roblox. Cela suppose bien sûr que l’État soit plus digne de confiance qu’une entreprise technologique américaine, mais c’est le cas, à mes yeux, aujourd’hui dans l’UE et dans de nombreux États membres. Il existe déjà des applications publiques bien conçues sur le plan de la vie privée, comme l’application néerlandaise de traçage du Covid

    • Quand toute la famille doit vérifier son âge, nous utilisons toujours le même adulte âgé pour tout le monde. Jusqu’à présent, cela n’a jamais échoué, et cela permet aussi de brouiller la fiabilité des données
    • Présenter cela comme un choix obligé entre une solution émise par l’État et une solution émise par une entreprise, c’est une fausse alternative. On peut aussi refuser les jeux qui exigent une vérification de l’âge ; c’est d’ailleurs ainsi que nous avons concrètement interdit Roblox à l’adolescent de la maison
    • Je comprends les problèmes de vie privée posés par la vérification de l’âge par des entreprises américaines, mais les registres publics de données personnelles ont eux aussi historiquement été dangereux
      Pendant la Seconde Guerre mondiale, le registre de population néerlandais consignait minutieusement la religion, et il a largement contribué au fait qu’environ 75 % des Juifs néerlandais — le taux le plus élevé d’Europe occidentale occupée — ont été assassinés. En 1942, le Census Bureau américain a fourni, malgré ses garanties de confidentialité, des données par quartier sur les Américains d’origine japonaise, et des recherches ultérieures ont montré que des noms et adresses avaient aussi été partagés. Au Rwanda, l’administration coloniale belge a inscrit Hutus et Tutsis sur les cartes d’identité dans les années 1930, et celles-ci sont devenues, 60 ans plus tard, un outil central des barrages du génocide
      Même si l’Europe actuelle semble sûre, des informations collectées pour un objectif donné peuvent être utilisées à des fins totalement différentes lorsque l’époque change. On ne sait pas quels groupes ethniques, croyances, comportements ou histoires personnelles de futurs régimes pourraient prendre pour cible, et toutes les données que nous avons accepté d’enregistrer tomberont entre leurs mains. Les gouvernements européens ont eux aussi fait ce genre de choses il y a seulement quelques décennies, et la période de paix actuelle est historiquement exceptionnelle et probablement temporaire pour beaucoup
    • On pourrait aussi fabriquer artificiellement le consentement de cette manière
    • On peut être en colère à la fois contre l’État et contre Roblox. On peut partager librement des jeux faits avec PICO-8, Löve, Godot, Rpgmaker, Game maker, etc., à la place de Roblox
      Il n’y a aucune raison d’utiliser Roblox, rempli de dark patterns et d’écosystèmes fermés
  • À titre de référence connexe, il y a aussi « l’application » de vérification d’âge de l’UE qui bloque tous les systèmes Android non approuvés par Google », du 27 juillet 2025
    https://www.reddit.com/r/BuyFromEU/comments/1mah79o/eu_age_v...
    Et le 24 septembre 2025, il a aussi été question de « l’application de vérification d’âge de l’UE qui ne prévoit pas de prise en charge du desktop »
    https://news.ycombinator.com/item?id=45359074

  • Il ne faut ni l’utiliser ni même envisager de le faire. Il faut faire savoir par tous les moyens possibles qu’on refuse d’utiliser ce système, et encourager ses amis à faire de même
    Ils parlent de souveraineté tout en faisant exactement l’inverse. Même si l’on soutient pleinement l’UE, si l’on ne peut pas bloquer la Commission par le vote, il faut montrer son refus par l’action

  • Il est assez absurde de voir disparaître en quelques années l’inquiétude pour la fracture numérique des personnes âgées qui ne peuvent pas utiliser de smartphone

    • Il existe aussi des jeunes qui n’aiment tout simplement pas les smartphones
    • Cette loi vise les mineurs, et il est permis de se demander si l’objectif n’est pas de leur apprendre à considérer la surveillance comme normale
      Le nombre de personnes âgées sans téléphone, ou ne sachant pas s’en servir et n’ayant personne pour les aider, va rapidement diminuer. D’après ce que j’ai pu constater, cela recoupe surtout la génération qui se souvient de la Seconde Guerre mondiale
    • Les personnes âgées peuvent penser qu’elles ne sont pas concernées parce qu’elles n’utilisent pas les réseaux sociaux, mais la cible ne se limite pas à elles. Le simple fait d’être forcé d’utiliser une plateforme donnée pour accéder à un service en ligne, qu’il soit américain ou européen, sur mobile ou sur desktop, est fondamentalement problématique
    • Si quelqu’un n’a dès le départ aucune activité numérique, il n’a pas non plus à gérer d’identité numérique ; en ce sens, cette question concerne assez peu ces personnes âgées
    • Le lobbying du « il faut protéger les enfants » n’est qu’un prétexte destiné à tromper les gens. Dès le départ, les enfants n’étaient pas l’objectif : ce n’était qu’un prétexte commode pour imposer un système autoritaire
  • Une réglementation mal examinée peut produire des conséquences inattendues, que son intention soit bonne ou mauvaise. Déjà aujourd’hui, on doit répéter un consentement juridique lié aux cookies sur chaque site visité, au point qu’on finit par cliquer sur n’importe quel bouton sans même y prêter attention

    • Consent-O-Matic traite automatiquement la plupart des boîtes de dialogue de cookies courantes selon les paramètres choisis, et peut aussi être utilisé dans d’autres navigateurs
      https://addons.mozilla.org/en-US/firefox/addon/consent-o-mat...
      Je l’utilise sur plusieurs appareils et téléphones, et cela fonctionne plutôt bien : je ne vois presque plus de pop-ups de cookies
    • Les préférences de l’utilisateur ne changent pas à chaque fois, donc je ne vois pas pourquoi le navigateur ne pourrait pas traiter automatiquement les pop-ups de cookies. C’est une tâche excessivement agaçante, donc elle devrait être automatisée
    • Voilà ce qui arrive quand on prétend protéger la vie privée tout en voulant maintenir des politiques favorables aux entreprises. La réglementation n’a pas imposé les bannières de cookies en tant que telles : elle a laissé le choix entre ne pas pister les utilisateurs ou afficher une bannière
      Les entreprises qui gagnent de l’argent grâce au capitalisme de surveillance choisissent évidemment la bannière. On aurait pu interdire totalement le pistage, mais cela n’a pas été fait parce que cela aurait nui au business
  • Qu’on utilise Android ou iOS, il n’est pas acceptable d’être forcé d’utiliser une plateforme spécifique pour accéder à presque tous les services Internet

    • Cela ne devient un problème que si c’est l’unique moyen de vérification d’âge. S’il existe d’autres options et que cela devient bien plus pratique pour 99,9999999 % des gens, il n’y a pas de raison de ne pas l’introduire
  • Je me demande comment cette approche peut être compatible avec les lois protégeant les personnes handicapées, les personnes âgées et certaines convictions religieuses. Les services publics ont toujours fonctionné de manière multicanale, avec nécessairement d’autres options, y compris via un mandataire ou sur papier ; ici, l’approche est excessivement brutale

  • Je tends désormais à ne plus utiliser du tout les services qui sont contraints d’implémenter une vérification d’âge

    • Cela pourrait finir par être nécessaire pour voir un médecin quand on est malade, ouvrir un compte bancaire pour recevoir son salaire, ou acheter des billets de train ou d’avion
      Ce qui m’inquiète plus que les réseaux sociaux, c’est l’impact de cette authentification numérique sur les services essentiels. On ne peut pas résoudre cela en se contentant de dire qu’on ne les utilisera pas
    • On pourrait aussi modifier la loi pour imposer l’usage d’entreprises américaines, en excluant de fait de la société toute personne sans application du Google Store. Comme la détection de l’âge constitue l’outil ultime pour surveiller tout le monde, il est fort probable que ce soit le véritable objectif
      Les enfants n’ont jamais été le but ; ils ne servent qu’à détourner l’attention des gens