Le projet d’identité numérique européenne exposerait-il les citoyens au piratage de leurs données personnelles ? Le 15 avril, la Commission européenne a mis en ligne la plateforme technique dédiée à l’implémentation d’un protocole sécurisé de vérification d’âge au sein d’applications, l’une des briques du projet d’identité numérique européenne, dont le déploiement est prévu pour fin 2026.

Aussitôt, de nombreux internautes ont tenté de déceler les failles dans le code rendu public par la Commission. Certains d’entre eux auraient identifié, captures d’écran à l’appui, une vulnérabilité critique qui permettrait que « quelqu’un […] puisse se placer au milieu des échanges de l’app et lire ou modifier les données en toute discrétion ». Les prémisses, selon cet internaute, d’une « surveillance de masse abusive ».

Mais selon Olivier Blazy, directeur scientifique du Centre interdisciplinaire d’études sur la défense et la sécurité de l’Institut polytechnique de Paris, il n’y a pas de « tentative de surveillance cachée » de la part de la Commission européenne. Les extraits de code pointés du doigt par les internautes servent aux développeurs à effectuer des tests en amont de l’intégration de la solution d’authentification dans l’application. Ces bouts de programmes n’ont pas vocation à être déployés dans le produit final.

Un outil pour les développeurs

« Techniquement, ces lignes existent bien. Ce qu’elles pourraient permettre c’est de faire un faux site que l’application pense légitime, et donc qu’elle transmette les informations demandées », explique Olivier Blazy. Le code incriminé peut donc, théoriquement, permettre une attaque via une « porte dérobée », c’est-à-dire une vulnérabilité autorisant l’intrusion d’un tiers dans le fonctionnement du logiciel.

« Tel quel, ça peut être dangereux. [Mais] en pratique, c’est une chose très courante lors du développement », nuance le spécialiste. Ce code sert en réalité aux développeurs à procéder à des tests. « [Par exemple], on va faire un faux serveur de l’Etat, pour ne pas avoir à faire des tests sur le vrai », explicite Olivier Blazy. Les extraits repérés par les internautes sont donc « légitimes pour aider les équipes qui vont se l’approprier et l’intégrer dans des applications nationales ».

Autrement dit, la plateforme technique de la Commission est avant tout un outil, appelé Software Development Kit (SDK, kit de développement logiciel), au service des développeurs travaillant à l’implémentation de la vérification d’âge dans les applications. Tout son contenu n’a pas vocation à être intégré dans l’application finale. « Si le but était [d’insérer] une backdoor dans le but de nuire, il aurait été surprenant d’en fournir une documentation détaillée », note Olivier Blazy.

Couac de communication

La méprise pourrait venir de la « communication confuse » de l’exécutif européen lors de la publication de la documentation, remarque le spécialiste.

Sur son site dédié à la mise en ligne de la plateforme technique, la Commission européenne affirme que « l’application de vérification est techniquement prête », laissant penser que le code mis en ligne est celui de l’application finale.

Or, la documentation logicielle d’une application et celle d’un SDK sont deux choses différentes. Si la plateforme visait à rendre accessible le code final d’une application dédiée au grand public, les extraits introduisant une porte dérobée « auraient dû être enlevés », conclut Olivier Blazy.

Une erreur dans ce contenu ? Vous souhaitez soumettre une information à vérifier ? Faites-le nous savoir en utilisant notre formulaire en ligne. Retrouvez notre politique de correction et de soumission d'informations sur la page Notre méthode.