Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

UE : le projet d’application de vérification d’âge intègre un outil Google

Avez-vous l'âge fixé par Google ?

UE : le projet d’application de vérification d’âge intègre un outil Google

Encore à l’état de prototype, le projet européen d’application de vérification d’âge intègre pour le moment un système d’authentification développé par Google.

Le 28 juillet à 15h48

Le 14 juillet, la Commission européenne dévoilait les détails de son projet de protection des mineurs en ligne, prototype d’application de vérification de l’âge inclus. Dans les prochains mois, la France, qui soutenait le projet depuis plusieurs années, le Danemark, l’Italie, l’Espagne et la Grèce pourront intégrer l’outil à leurs propres applications nationales d’identification, ou choisir de créer une application indépendante.

Mais il y a un hic. Sur Github et sur Reddit, plusieurs internautes critiquent la direction prise par le prototype open source, à la fois pour des raisons techniques et d’autonomie stratégique. En effet, le projet d’application repose pour le moment sur l’API Play Integrity de Google pour la vérification des applications et des appareils.

Play Integrity, une API Google

Le rôle de Play Integrity est de vérifier que le système d’exploitation est sous licence Google, et que l’application que vous téléchargez l’est depuis le Play Store, rappelle Neowin. Autrement dit, si vous décidiez de télécharger les applications nationales recourant à l’outil de vérification d’âge de la Commission européenne depuis un système Android qui n’est pas sous licence Google, alors celle-ci ne fonctionnerait pas. 


Par ailleurs, la présence même d’un acteur états-unien comme Google hérisse plus d’un internaute. Sur le fil Reddit « BuyFromEu » (achetez européen), un internaute précise : « bien qu’il soit utile de vérifier la sécurité de l’appareil », le recours à cette solution précise « lie fortement l’application à de nombreux services et propriétés de Google, car ces vérifications ne passeront pas avec un système d’exploitation Android alternatif, pas même avec ceux qui améliorent considérablement la sécurité comme GrapheneOS (…). Cela signifie également que même si vous pouvez compiler l’application, vous ne pourrez pas l’utiliser car elle ne proviendra pas du Play Store et le service de vérification l’âge la rejettera. »

Recourir à des services européens ?

Sur Reddit, plusieurs internautes soulignent que des problématiques similaires existent avec des applications nationales de vérification d’identité (MitID au Danemark, BankID en Norvège). Les solutions qu’ils indiquent pouvoir utiliser – tout en redoutant que cela ne dure pas sur le long terme – consistent généralement à passer par une clé physique.

Pour parer la problématique spécifique au projet d’outil de vérification d’âge, certains internautes recommandent des outils européens, parmi lesquels l’application hollandaise Yivi, déjà dédiée à de la vérification d’âge. À l’heure actuelle, les développeurs du projet européen n’ont pas fait de commentaire sur le sujet.

Commentaires (23)

votre avatar
Un commentaire sur Reddit résume très bien le problème.
You can only be a full citizen of the EU if you accept the ToS from Google. You can't make that shit up.
Si vous n'avez pas de compte Google (ou Apple), vous ne pouvez pas prouver que vous êtes un citoyen européen adulte. C'est totalement éclaté en l'état.
votre avatar
Je ne porte plus de ceinture, c'est trop long à enlever à chaque fois que je dois baisser mon pantalon pour les mecs de l'autre côté de l'Atlantique.
votre avatar
un bon Kilt et hop ;)
votre avatar
Je comprends pas ... Je comprends pas ... Je comprends pas ... Je comprends pas ...
votre avatar
Il n'y a rien à comprendre. C'est juste la fainéantise habituelle IT quand ca vient des grandes administrations.
votre avatar
Les grandes administrations ne sont pas les seules concernées par cette fainéantise, hélas.
votre avatar
Mais pourquoi bordel ! C'est à vomir cette ingérence constante de Google
votre avatar
Google n'ont pas forcés l'usage de cet API sur les gouvernements :fumer:
votre avatar
Ça sent la fainéantise habituelle des projets IT. Quelle tristesse :craint:
votre avatar
On paye aujourd'hui des décennies de naïveté relativement aux Américains.

Les autres puissances ont mis en œuvre des stratégies concrètes pour ne pas dépendre autant des GAFAs.

Aujourd'hui c'est un peu tard...
votre avatar
Et c'est encore signé la commission européenne
votre avatar
Donc, il faut que Google (US) certifie qu'un téléphone (presque certainement chinois) et une application, obligatoirement fournie par son store, soient "safe", pour que l'application (européenne) se sente en confiance et accepte de fonctionner ?
Ça ressemble au problème du secure boot avec les clés Microsoft insérées dans l'UEFI


Ne pourrait-on pas imposer en Europe la livraison des smartphones avec une alternative à Android (genre GrapheneOS) signée par un organisme dédié de l'UE, pour que les applications distribuées en Europe soient (et doivent être) basées sur une API non-alien ?
votre avatar
Pour le SB c'est juste faux, j'en ai un peu marre d'entendre cette histoire.

Les certificats db dépendent exclusivement des OEM/ODM qui intègrent les SDKs phoenix/ami/insyde et rien ne les empêche de mettre les certificats qu'ils veulent. La seule condition de MS pour que le PC soit certifié est d'avoir au moins le leur de présent + SB activé par défaut, MS n'a jamais interdit que d'autres clés soient présentes sauf que les OEM/ODM ne veulent pas se compliquer la vie avec X clés à gérer (au moins 1/distrib majeure) qui ne serviront qu'à quelques geeks (dont je fais parti) dans des marchés de niche.

Par ailleurs les OEM/ODM sont libres de laisser l'utilisateur gérer le PK (et donc les KEK et les certificats db/dbx) ou de le verrouiller. Par exemple j'ai le plein contrôle sur mon uefi Asus (CM de 2023) et Insyde (PC clevo de 2020).

Par ailleurs, MS signe même un mini bootloader (exécutable "shim" qui embarque la clé publique de la distrib X permettant ensuite de valider la signature de grub pour le charger) afin que les RH/Debian/Fedora/etc. soient autonomes et donc puissent assurer la chaîne SB. Bon ce n'est pas gracieux de la part de MS, ils le font pour ne pas se mettre à dos différents acteurs mais sur le plan technique, absolument rien n'empêche les OEM/ODM de gérer d'autres clés sans perdre la certification MS. C'est à eux qu'il faut s'adresser pas à MS.
votre avatar
Pourquoi forcer un mobile ? J'ai un ordi en fait.
votre avatar
Pourquoi une telle levé de bouclier pour un poc?

Le readme github le dit clairement
Disclaimer:
This is an initial version of the software, developed solely for the purpose of demonstrating the business flow > of the solution. It is not intended for production use, and does not yet include the full set of functional, > security, or integration features required for a live deployment.
De ce que je comprend c'est à chaque pays de créer sa propres application en s'aidant de celle la.

Et si l'intégrité de l'appareil est requise, alors cela veut-il dire qu'on peut contourner la vérification d'age si on ne passe pas par cette app ?
votre avatar
Parce que les POC qui passent en prod, je ne connais que trop. :ooo:
Et le jour où G décide que ton phone n'est plus compatible avec la nouvelle version, il se passe quoi ?
l'appli ne se lance plus ? tu n'est plus majeur ? tu n'existes plus ?
votre avatar
Ca n'a de valeur que mon expérience perso, mais dans ma boite POC= Ce qui va être mise en place.
Le delta est négligeable...
votre avatar
Si le modèle fourni repose sur google, les bifurcations ont quelques chances de reposer dessus aussi, tu ne crois pas ?
votre avatar
Certes, pour le fond du problème je suis tout a fait d'accord, mais je trouve la réaction et l'emballement disproportionnées.
votre avatar
Arf attendez, quand j'ai lu que la vérification d'âge européenne passerait par une "application" j'ai naïvement cru que c'était une manière un peu rapide de présenter les choses mais que ça serait accessible sur n'importe quel appareil via un navigateur. Mais donc en fait on parle bel et bien d'une application pour smartphone ? Je ne pourrait pas attester de mon âge en utilisant un ordinateur ? Ou alors sur smartphone je serais contraint d'utiliser la version web mais pas une application ? Il y a encore des gens qui n'ont pas de smartphone, oui oui ça existe, et pas que des mineurs. On leur coupe l'accès aux services via internet ? Parce que Ok ça commence par le porno, puis ensuite les banques, les réseaux sociaux, etc, on connait la combine
votre avatar
Ben un smartphone est souvent "bien plus personnel" qu'un ordi, et trimballé partout. C'est pour beaucoup pratiquement une "extension bionique" , avec comme "avantage" un très très fort contrôle sur le logiciel, au contraire d'un pc.

Du coup pour l'identification & traçage des gens dans leur quotidien c'est bien plus efficace.
La tentation est donc très grande de se baser dessus pour toujours plus de surveillance (Nos gouvernements ne se voient pas au service de leur population, mais plutôt comme leurs bergers, voire leur père. Ça explique ce sentiment de légitimité de la surveillance panoptique qu'ils espèrent).
votre avatar
Ce truc est vraiment géré n'importe comment ... 🤦‍♂️
votre avatar
Et les mineurs qui ont un iPhone, c'est openbar ?

UE : le projet d’application de vérification d’âge intègre un outil Google

  • Play Integrity, une API Google

  • Recourir à des services européens ?

Fermer