Le portefeuille numérique de l’UE vérifie l’âge : pour lier Google, Apple ? Des développeurs inondent GitHub en dénonçant un cauchemar pour la vie privée

Le mécanisme de vérification d’âge du portefeuille de portefeuille d’identité numérique de l’Union européenne prévoit d’arrimer l’authentification à Google Play Integrity et l’App Attestation d’Apple. Le débat officiel sur GitHub a suscité près de 300 messages de protestation, des développeurs dénonçant une initiative en violation du principe d’interopérabilité réglé par les spécifications.
(Historique : Avertissement ferme de l’UE à propos d’Apple : si iOS n’est pas ouvert, la sanction maximale peut atteindre 20% du chiffre d’affaires mondial)
(Complément de contexte : l’Europe s’est associée pour lancer une plateforme numérique de suivi de la prévention des épidémies, mais on rapporte qu’elle a discrètement retiré le protocole « décentralisé DP3T »)

Table des matières

Toggle

  • Ce qui met les gens en colère : souveraineté, standards ouverts et double faux départ
  • Un chercheur en sécurité déverrouille un code PIN d’app en 2 minutes
  • Chaque pays prend sa propre route : Pays-Bas et Italie adoptent tout, la Suisse dit non

La spécification de vérification d’âge du portefeuille d’identité numérique (EU Digital Identity Wallet) que l’UE pousse, prévoit d’intégrer toute la chaîne de vérification de l’authenticité de l’app et de l’appareil à Google Play Integrity API et à Apple App Attestation. Dès l’annonce, le fil de discussion officiel sur GitHub a été submergé, et la communauté des développeurs a presque unanimement réclamé : « ne pas ».

Intitulé « Do not add Google Play Integrity integration », ce fil a été lancé par le développeur TheLastProject. La demande centrale de la majorité des commentaires est simple : la vérification d’âge ne devrait pas être verrouillée dans le service exclusif de deux grands groupes technologiques américains.

Ce qui met les gens en colère : souveraineté, standards ouverts et double faux départ

Le premier point d’attaque des opposants concerne l’application néerlandaise d’identité « Yivi » (anciennement IRMA). Cette appli peut déjà effectuer une vérification d’âge sans dépendre de services Google, et elle peut même être distribuée sur la boutique open source F-Droid, prouvant directement que l’intégration à Play Integrity n’est pas une condition technique nécessaire.

Le deuxième point d’attaque concerne la spécification qui se contredit elle-même. La spécification du portefeuille d’identité numérique de l’UE définit trois grands principes et impose l’arrimage aux services de vérification privés de Google et d’Apple : cela revient à enfreindre simultanément les deux principes « interopérabilité » et « standards ouverts » ; les développeurs s’interrogent : pourquoi une spécification officielle qui se présente comme ouverte finirait-elle par ne reconnaître que deux sociétés américaines ?

Le troisième point d’attaque est la souveraineté numérique. Plusieurs messages soulignent que les services gouvernementaux ne devraient pas dépendre de services externes tiers : à chaque couche de dépendance, davantage de risques potentiels en cybersécurité s’ajoutent. Si Google ou Apple modifie ses politiques, supprime des services ou en cas de vulnérabilité systémique, les mécanismes de vérification d’identité des gouvernements de chaque pays risqueraient d’être entraînés dans l’arrêt.

L’organisation néerlandaise à but non lucratif Waag Futurelab s’est aussi jointe au débat. Dans un article intitulé « European digital ID wallets are a gift to Google and Apple », elle affirme sans détour que ces portefeuilles reposant sur l’API Google Play Integrity et le mécanisme d’authentification des appareils d’Apple reviennent à faire des administrations des exécutants de politiques de plateformes de sociétés privées. Waag pointe aussi du doigt que la conception de l’API Google Play Integrity pourrait entrer en conflit avec la législation européenne sur les marchés numériques (DMA), visant à empêcher la monopolisation par de grandes entreprises.

Chercheur en cybersécurité : déverrouiller un code PIN d’app en 2 minutes

Le modèle de menace a également été mis à l’épreuve. Un commentaire a carrément demandé : pour empêcher des acteurs malveillants d’attaquer à distance les appareils et de voler une preuve « majeur » afin de consulter des sites pour adultes, vaut-il la peine d’enchaîner tout le système à une authentification matérielle ? D’autres remettent en cause l’idée qu’il soit indispensable que la vérification d’âge soit faite sous forme d’app native : des Web Apps modernes, combinées à l’API Digital Credentials, peuvent obtenir le même résultat.

Ces doutes ne sortent pas de nulle part. Un chercheur en sécurité a testé sur des appareils Android et a constaté qu’en modifiant un simple fichier de préférences en texte brut, il suffit de supprimer l’entrée du PIN chiffré, de désactiver la valeur booléenne de reconnaissance biométrique : en moins de 2 minutes, on peut réinitialiser le code PIN de l’app, désactiver la connexion par biométrie, et les identifiants stockés peuvent encore être entièrement récupérés. Un autre chercheur a reproduit cette faille et documenté davantage de problèmes, y compris le stockage non chiffré de données personnelles.

La exclusivité imposée a aussi suscité de l’irritation. Des développeurs indiquent que les utilisateurs qui n’installent pas de logiciels Google ou Apple, ainsi que les personnes utilisant des systèmes dégooglés (comme GrapheneOS ou e/OS), risquent d’être directement exclus des services d’identité numérique. Le cas du portefeuille italien (Italian Wallet), qui a déjà eu des ratés lors de l’intégration à Play Integrity, a également été cité à répétition comme exemple précédent.

Chaque pays prend sa propre route : Pays-Bas et Italie adoptent tout, la Suisse dit non

Les positions des gouvernements ne sont pas uniformes. À l’heure actuelle, les Pays-Bas et l’Italie adoptent sans condition Google Play Integrity ; la Suisse, elle, a renoncé à Play Integrity en raison de considérations liées à la protection des données, à la souveraineté des données et à la liberté de choix des utilisateurs, et utilise à la place les mécanismes d’authentification intégrés à Android.

Le côté fournisseur a aussi tenté d’éteindre l’incendie. Le fournisseur d’apps de vérification d’âge Scytales a indiqué que ses contrôles d’intégrité pour son application de vérification d’âge au sein de l’UE ne dépendent pas de Google ou d’Apple. Le camp open source a aussi proposé des alternatives : « Unified Attestation », initié par Volla Systeme GmbH, qui met en avant des jetons d’intégration à durée de vie courte et une validation hors ligne, et peut coexister avec Play Integrity. Certains messages y voient un compromis.

Plusieurs personnes se présentant comme des professionnels de la cybersécurité affirment dans le fil qu’il s’agit d’un « cauchemar en matière de confidentialité et de cybersécurité » ; d’autres, plus radicaux, vont jusqu’à s’opposer à tout système de vérification d’âge ou de contrôle d’identité en ligne. Une chose est néanmoins claire : le processus de définition des spécifications du portefeuille d’identité numérique de l’UE est généralement considéré comme un modèle mondial. Une fois l’intégration de Google Play Integrity actée, elle deviendra probablement un fait accompli servant de référence à d’autres pays. Cette contestation ne ferait, très probablement, que commencer.

AAPL-0,78%
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
  • Récompense
  • Commentaire
  • Reposter
  • Partager
Commentaire
Ajouter un commentaire
Ajouter un commentaire
Aucun commentaire
  • Épinglé