Sites porno : la solution AgeGo enregistre les contenus auxquels accèdent les internautes
Not so anon
AgeGo, une solution espagnole déployée sur plusieurs sites pornographiques pour opérer de la vérification d'âge, enregistre les sites visités par les internautes avant même que ceux-ci n'aient lancé le processus de validation de leur majorité.
Le 04 septembre 2025 à 11h00
4 min
Sécurité
Sécurité
Début août, l’Arcom rendait obligatoire la vérification de l’âge des utilisateurs sur les sites pornographiques. Nous avons testé les solutions, il est non seulement très simple de se servir de ces outils, mais aussi de les contourner, voire de leur soumettre n’importe quoi.
Si cela peut prêter à sourire et à débattre du bien-fondé du recours à ce type de dispositif technique, une solution utilisée par plusieurs plateformes courues illustre un enjeu particulier : celui de la protection de la vie privée des usagers. D’après les analyses menées par AI Forensics, AgeGo récupère en effet des informations sur les sites et les pages exactes visitées par les internautes qui y font vérifier leur âge. Quant au flux vidéo de leur webcam, en cas de recours à la solution du selfie, il est envoyé directement vers l’outil Rekognition d’Amazon Web Services (AWS).
Login, selfie ou passage par un tiers
Les services d’AgeGo ont été déployés sur au moins six plateformes pornographiques, parmi lesquelles xvideos.com, tnaflix.com et xnxx.com. Sur son site web, AgeGo indique avoir été créée en 2019 et avoir des bureaux à Dublin, en Irlande, et Porto, au Portugal. Son siège est situé à Barcelone, en Espagne, dans les locaux d’Exogroup, une entité réunissant sept entreprises technologiques ou de l’industrie de la publicité en ligne.
Pour vérifier son âge en France, AgeGo propose trois options : s’identifier à un compte AgeGo, utiliser une estimation de l’âge en réalisant un selfie ou en recourant à une carte d’identité, et se connecter à l’application d’un autre fournisseur de vérification d’âge, Yoti. D’après sa politique de confidentialité, elle propose aussi, au Royaume-Uni, de s’identifier par SMS.
Auprès de l’internaute, le service présente ses options recourant au selfie ou à l’application tierce Yoti comme des solutions de « double anonymat », soit ce que l’Arcom impose. Comme le rappelle la CNIL, le double anonymat consiste à faire en sorte que le site auquel la personne accède n’ait pas connaissance de son identité, mais reçoive simplement la preuve de sa majorité, tandis que le tiers en charge de la vérification de l’âge connaît l’identité de la personne, mais pas les sites que celle-ci consulte.
« Double anonymat » très détaillé
Le problème, constate le chercheur Paul Bouchaud, consiste dans les pratiques d’AgeGo avant même que l’internaute ne consente à la politique en question, ou ne choisisse l’une des options de vérification d’âge proposée.
À ce stade, le navigateur de l’internaute envoie en effet une requête au serveur d’AgeGo, dans laquelle se retrouvent l’identifiant du site visité et l’URL de la vidéo exacte à laquelle l’internaute cherche à accéder. AgeGo produit ensuite un cookie qui code ces informations puis se retrouve inclus dans toutes les futures requêtes au serveur d’AgeGo. En substance, le fournisseur de vérification d’âge reçoit des informations précises sur les sites et les contenus spécifiques visités par les internautes.
À partir de ce 1er septembre, la société indique également que les flux vidéos collectés depuis la webcam de l’internaute seraient téléchargés directement sur les serveurs d’un service tiers. En l’occurrence, constate le chercheur d’AI Forensics, ce fournisseur est Amazon Web Services, par l’intermédiaire de son service de reconnaissance faciale Rekognition, qui permet à ses clients d’automatiser leurs analyses d’images et de vidéos. Outre ce flux, la technique de vérification de l’âge par reconnaissance faciale transmet en réalité l’adresse IP de l’usager et le fait qu’elle consulte des sites interdits aux moins de 18 ans.
Paul Bouchaud relève par ailleurs la présence d’un design trompeur (dark pattern) dans le fonctionnement d’AgeGo. Une fois la vérification d’âge effectuée, AgeGo oblige en effet l’internaute à créer un compte : ce n’est qu’une fois une adresse mail soumise au service qu’il ou elle peut accéder au site visé, un élément qui paraît superflu pour estimer l’âge de la personne.
Sites porno : la solution AgeGo enregistre les contenus auxquels accèdent les internautes
-
Login, selfie ou passage par un tiers
-
« Double anonymat » très détaillé
Commentaires (18)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 04/09/2025 à 11h05
quelle belle usine à gaz pour un truc facilement contournable avec un VPN
Le 04/09/2025 à 12h21
Le 04/09/2025 à 12h33
Le 04/09/2025 à 11h14
Le 04/09/2025 à 11h29
Le 04/09/2025 à 15h47
Le 04/09/2025 à 11h47
Les grandes plateformes web l'ont bien compris comme la TV des années 1990.
Le 04/09/2025 à 12h06
Faudrait être con pour ne pas la collecter alors qu'elle est juste à portée.
Modifié le 04/09/2025 à 16h26
Le 05/09/2025 à 09h27
Le 04/09/2025 à 12h35
Le 04/09/2025 à 13h15
Le 04/09/2025 à 16h17
Avec la vérification de l'âge par webcam, AgeGo voit que telle personne a les joues rouges, un autre avec un certain type de crème de visage. Ainsi le site pourra proposer des catégories de vidéos dès la VA effectuée. Tout le monde gagne du temps, et on sait bien que les visites sur ces sites doivent parfois se faire dans un temps assez court.
Mais on voit bien que vous préférez parler des données perso que de l'expérience client, ici grandement améliorée !
Le 05/09/2025 à 08h24
FranceConnect n'aurait ainsi pas connaissance de l'usage qui serait fait de ce token, le service d'auth tiers comme le site pron ne serait pas non plus informé de l'identité du visiteur.
Je dis une sottise?
Le 08/09/2025 à 07h06
Après pour de l'authentification renforcée, ça passe par FranceConnect+ et cela nécessite de posséder la dernière génération de carte d'identité.
Modifié le 09/09/2025 à 21h07
La vérification d'identité derrière FranceConnect+ se base sur des fournisseurs d'identité dont France Identité ou le service Identité Numérique La Poste. Ces fournisseurs de basant sur les données officielles se comptent sur les doigt des deux mains en France : https://docs.partenaires.franceconnect.gouv.fr/.
J'avais, dans mon commentaire, souligné le fait que France Identité ne soit qu'une application, et ne produise que du document PDF : l'usage par API ne semble pas prévu. Dommage.
FranceConnect (+ ou non) s'appuie sur des "fournisseurs de service" pour exister, et il faut être partenaire validé pour y exister.
C'est donc bien au niveau des fournisseurs d'identité et les possibilités qu'ils offrent que la partie se joue, et il ne me semble pas que FranceConnect ait vocation à être largement utilisé pour des services quelconques, tant la barrière à l'entrée est haute.
J'ai mentionné deux des 8 fournisseurs d'identités possibles derrière FranceConnect, tels que listés sur la documentation partagée ci-avant.
Peut-être dans le lot y en aurait-il avec qui il serait facile de s'interfacer afin de proposer un service pivot ?
Encore et toujours, il va falloir faire aveuglément confiance à l'entité pivot qui sera capable de relier identité et activité en ligne au motif d'une prétendue sécurité qui peut vite devenir surveillance.
Ce n'est pas faute de le répéter depuis des (dizaines d')années.
Aucune solution ne peut conceptuellement exister ne sacrifiant pas la vie privée.
La boite de Pandore est désormais ouverte, et cette idée lugubre va maintenant faire tâche d'huile.
Qu'un seul inconscient se réjouisse de l'existence d'un tel système serait déjà trop.
Modifié le 09/09/2025 à 22h40
Pour ma part j'avais compris que FranceConnect jouait justement ce rôle "d'entité pivot".
Précisément qui sert d'interface entre un service désiré qui nécessite une identification (âge par ex) et un service qui va fournir les données d'identité, l'étanchéité entre les deux étant assuré par France Connect.
J'ajoute que le code source de France Connect est dispo sur Github, j'imagine que des regards expérimentés peuvent décortiquer les mécanismes en jeu ?
Le 19/09/2025 à 10h26
Assez strict je trouve, et il te faut une carte d'identité allemande :-P
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?