S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

Mr Patate, le retour !

France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

Illustration : Flock

France Identité est en train d’ajouter une corde à son arc : la vérification de l’âge. Entre les sites pornos réservés aux plus de 18 ans et les réseaux sociaux aux plus de 15 ans, c’est dans l’air du temps.

En France, la vérification d’âge est en place depuis l’été dernier pour les sites pornos (18 ans minimum). Comme nous l’avions testé, les applications validaient parfois n’importe quoi, notamment une carte d’identité de Mr Patate ou de Dora l’exploratrice. En ce début d’année, le gouvernement avance sur son projet de loi pour interdire l’accès des moins de 15 ans aux réseaux sociaux.

France Identité teste la preuve d’âge

France Identité est une application Android et iOS permettant de gérer vos papiers d’identité, de se connecter à des services via FranceConnect sans mot de passe (en scannant un QR Code) et de générer des justificatifs d’identité à usage unique (sous la forme d’un PDF). L’application expérimente depuis peu une fonctionnalité supplémentaire : la vérification d’âge.

Sur X, le compte officiel indique que l’application « France Identité comporte une fonctionnalité, actuellement en expérimentation, pour fournir une preuve d’âge. Aucune donnée personnelle n’est communiquée : ni le nom, ni le prénom, ni la date de naissance », pas plus que l’âge exact. Le service reçoit « uniquement la preuve d’âge minimal (de type « plus de 18 ans ») » :

« Rien n’est transmis sans le consentement de l’utilisateur. Aucune donnée n’est conservée sur l’usage de cette preuve d’âge. Le principe du double anonymat est respecté. »

Comme l’a indiqué Macro Zedong sur X, une page sur le site officiel France-identite.gouv.fr permet de tester la vérification d’âge. Trois niveaux sont proposés : plus de 15, 18 ou 21 ans, avec des QR Code différents. Nous avons tenté l’expérience sur un iPhone avec la version 1.3.4134 de l’application France Identité, sans succès. Nous avons obtenu un message d’erreur bateau : « Erreur Application France Identité ». Si vous avez plus de chance, n’hésitez pas à nous le faire savoir.

Trust me !

Stelau est crédité comme prestataire. Cette société française se présente comme un « cabinet indépendant spécialisé dans le domaine de la sécurité des systèmes d’information » et c’est à peu près tout ce que l’on sait sur la vérification d’âge actuellement dans France Identité.

C’est d’ailleurs ce manque de transparence qui fait bondir le compte CrowINT spécialisé dans la cybersécurité (et aussi en charge de l’infrastructure du projet Le Débunk Café). Il rappelle entre autres que le code critique du backend (la partie serveur) « n’est pas public » ; impossible donc de confirmer les promesses des développeurs.

Pour utiliser France Identité, il faut « être majeur », disposer d’un smartphone compatible et d’une Carte Nationale d’Identité française (les nouvelles, au format CB). Pour rappel, depuis mars 2025, il est possible de « renouveler de manière anticipée votre carte d’identité pour utiliser France Identité ». Il est précisé qu’en cas de perte ou de vol, « un timbre fiscal de 25 € est obligatoire ». Mais s’il faut déjà « être majeur », quel intérêt en l’état de proposer une preuve d’âge supérieur à 15 ans ? Cette question n’a pas non plus de réponse.

Rappel : le « double anonymat » n’est pas anonyme

Le « double anonymat », nous en parlions en septembre dernier car il est dans le référentiel de l’Arcom sur les exigences techniques des systèmes de vérification d’âge. Il porte, pour rappel, très mal son nom car… il « n’est pas « anonyme » au sens du RGPD ». Il permet certes « une grande confidentialité », reconnait l’Arcom. La CNIL indique simplement qu’il « permet de protéger au mieux la vie privée des internautes ».

La Commission rappelle le principe de fonctionnement, dans le cas des sites pornos et donc d’un âge minimum de 18 ans :

  • Le site auquel l’internaute accède reçoit la preuve de sa majorité mais ne connaît pas son identité.
  • Le prestataire de la solution de contrôle d’âge connaît l’identité de l’internaute mais ne sait pas quels sites il consulte.

Il existe pourtant un terme qui serait mieux adapté : la « double confidentialité ». Problème, l’Arcom ne l’utilise qu’une seule fois dans son référentiel de 22 pages, contre pas moins de 19 fois pour « double anonymat »… qui n’est pas deux fois plus anonyme.

Commentaires (42)

votre avatar
Pourquoi forcément passer par une application et carrément la carte d'identité, alors que France Connect pourrait amplement suffire ?

Franchement, c'est pas très sérieux.
votre avatar
Parce que l'hébergeur de France Connect aurait alors à la fois ton identité et le site depuis lequel tu te connectes, donc on est sur de la double transparence, pas du double anonymat :p
votre avatar
pas du double anonymat :p
double confidentialité, le môssieur a dit :p
votre avatar
C'est pas exactement la même chose pour l'hébergeur de France Identité ? 🤔
votre avatar
Non, parce que France Identité génère une attestation cryptographique qui est donnée à l'utilisateur, là où France Connect est conçu pour certifier l'identité auprès du site. Dans la technique utilisée c'est très très différent.

France Connect faut le voir plus comme un notaire : il valide ton identité puis vas attester en personne de ton identité auprès du site. Ce notaire a connaissance à la fois de ton identité, et du site visité. Le site est absolument certain de ton identité, puisque le notaire est venu en personne la prouver. C'est presque infaillible.

France Identité c'est plutôt comme un tiers qui rédige une attestation : tu montres ta carte d'identité à France Identité, qui rédige un document "j'atteste que la personne porteuse de ce certificat a plus de 18 ans" et le donne à l'utilisateur, qui peut ensuite le filer au site. France Identité n'a alors que l'information que Michel Dupont a généré une attestation, mais pas pourquoi il l'a utilisée. Le site ne peut toutefois pas être 100% certain que l'attestation n'a pas été créée par le père de l'utilisateur qui lui aurait donné, donc sécurité plus faible*.

L'approche de France Connect est prévue pour de l'authentification (très) forte, c'est beaucoup plus fiable car il n'y a aucun risque de contournement de l'attestation, mais ça laisse énormément de traces (et ce n'est pas vraiment grave que l'État sache que tu t'es connecté au portail des impôts).
L'approche qu'ils veulent mettre dans France Identité est beaucoup plus faible en sécurité (toutefois amplement suffisant pour de la vérification d'âge) mais c'est beaucoup plus confidentiel (car c'est dangereux de laisser l'État savoir quel réseau social ou site de porno chaque français visite).


  • : ça peut être rendu grandement plus difficile en faisant des attestations valables à peine quelques dizaines de secondes à minutes et envoyées de manière automatisées par le logiciel.

votre avatar
Merci pour le détail.
Du coup, si j'ai bien compris, France Identité ressemble à la proposition faite en commentaire d'un autre article.
Mais pourquoi diable compliquer autant chose et forcément passer par une application mobile, plutôt que de passer par une extension qui se connecte à FranceConnect pour récupérer l'information de l'âge, par exemple ?
votre avatar
plutôt que de passer par une extension qui se connecte à FranceConnect pour récupérer l'information de l'âge, par exemple ?
Quid de la garantie que la personne est bien la détentrice du compte et que l'extension n'ira pas lire l'historique de navigation pour faire un lien avec la requête et les sites visités ?

Même si l'appli smartphone c'est pas ma préférence non plus, ça reste un système déconnecté de la requête initiale.
votre avatar
Après, je trouve qu'ils ont vraiment raté le branding France Connect / France Identité, c'est très confus pour la majorité des utilisateurs. Des noms proches mais toutefois différents, avec France Connect qui peut rediriger sur France Identité, mais France Identité qui a des fonctionnalités propres...
votre avatar
Pour le fait que la personne est bien la détentrice du compte, ça, c'est le boulot de France Connect.

Et pour l'extension, celle-ci DOIT être open source, selon moi, pour qu'on puisse avoir confiance en elle, et donc qu'on puisse s'assurer qu'elle ne fasse pas ce que tu décris.
votre avatar
ça peut être rendu grandement plus difficile en faisant des attestations valables à peine quelques dizaines de secondes à minutes et envoyées de manière automatisées par le logiciel.

Certes mais dans ce cas , pour moi tu augmentes la possibilité de corrélation , ton attestation devient une sorte de "token unique" pour le site web vu qu'il faut en re-générer une pour aller sur un autre site .
Ce qui reste moins vrai si l'attestation n'est générée qu'une fois , et réutilisable sur de multiples sites.
Il faut toujours prévoir que , demain , la base de donnée des sites en question et la base de donnée de France Identité se retrouvera disponible publiquement.
votre avatar
Ce serait l'exact inverse : il est plus confidentiel d'utiliser une attestation toute neuve à chaque visite sur un site qu'utiliser la même plusieurs fois.

Si je vais 5 fois sur le même site en utilisant à chaque fois la même attestation valable jusqu'au 12 septembre 2027 à 19h34m56s675ms, le site pourra être presque certain que c'est la même personne qui a visité ces 5 fois. Alors que si à chaque visite je lui envoie une attestation complètement différente, c'est plus complexe à corréler.

On peut étendre la méthode de fingerprinting aux sites du même groupe, par exemple les réseaux de Méta ou les sites d'Aylo (Pornhub, Youporn, Redtube). On peut également imaginer que les régies publicitaires présentes sur plusieurs de ces sites utilisent également cette méthode de fingerprinting.

Théoriquement, France Identité n'est pas censé stocker les identifiants de l'attestation, pas plus que les sites visités (qui n'ont aucun intérêt à la stocker si ça ne permet pas de faire du fingerprint) mais même s'ils le stockaient, ça serait bien complexe de pirater France Identité ET le site visé pour pouvoir obtenir des corrélations. Et cela impliquerait que France Identité stocke aussi le lien entre identité réelle et identifiant d'attestation, ce qui est plus qu'improbable, à défaut même en piratant les deux bases on aurait juste la liste des comptes qui ont prouvé leur age.
votre avatar
C'est drôle... encore un truc sur lequel on a des points de vue opposés.

Content de pas bosser avec toi ;-) !
votre avatar
Content de pas bosser avec toi ;-) !
C'est dommage, car c'est justement dans ce genre de situation que l'on est mieux à même d'apprécier tous les tenants et aboutissants et de peser le pour et le contre de chaque solution ;)

C'est d'autant plus dommage que pour le coup, @CharlesP. a 100% raison :D
votre avatar
Quand un truc commence par "Théoriquement, XXXXX n'est pas censé stocker YYYY", pour moi c'est perdu d'avance.

Après je bosse pas non plus avec toi, ouf :francais:
votre avatar
C'est perdu d'avance, mais tu te plains d'un point qui est commun à vos deux approches. J'espère que tu ne bosses pas avec toi-même non plus ;)
votre avatar



[mode semi troll]
Si au lieu de tout ça on appliquait la Loi déjà existante.
Je pense à celle-là :
_____________
Article 441-1
Constitue un faux toute altération frauduleuse de la vérité, de nature à causer un préjudice et accomplie par quelque moyen que ce soit, dans un écrit ou tout autre support d'expression de la pensée qui a pour objet ou qui peut avoir pour effet d'établir la preuve d'un droit ou d'un fait ayant des conséquences juridiques.

Le faux et l'usage de faux sont punis de trois ans d'emprisonnement et de 45 000 euros d'amende.
____________
Pour même si ça semble leger, le portail qui demande "êtes-vous majeur" est suffisant.

C'est à la justice de poursuivre les individus qui font une fausse déclaration.
La faute est là leur, non ?
PS : Oui, il sont mineurs, mais justement c'est un parent responsable d'en assumer la conséquence.
C'est aussi ça l'éducation.
votre avatar
PS : Oui, il sont mineurs, mais justement c'est un parent responsable d'en assumer la conséquence.
En droit français, nul n'est responsable pénalement que de son propre fait. Les parents ne sont pas responsable des délits commis par leurs enfants mineurs. À l'inverse, les mineurs sont pénalement responsables dès 13 ans, et même avant si l'enquête détermine qu'ils disposaient de leur capacité de discernement.
votre avatar
Bonjour,
Je suis en train de cherché plus spécifique mais j'ai déjà un contre exemple :
[https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000051786000#:~:text=sommaire%20du%20code-,Article%201242,-Version%20en%20vigueur]
Code civil
Livre III : Des différentes manières dont on acquiert la propriété (Articles 711 à 2278)
Titre III : Des sources d'obligations (Articles 1100 à 1303-4)
Article 1100 Article 1100-1 Article 1100-2
II : La responsabilité extracontractuelle (Articles 1240 à 1254)
Chapitre Ier : La responsabilité extracontractuelle en général (Articles 1240 à 1244)

Article 1242
[...]
Les parents, en tant qu'ils exercent l'autorité parentale, sont, de plein droit, solidairement responsables du dommage causé par leurs enfants mineurs, sauf lorsque que ceux-ci ont été confiés à un tiers par une décision administrative ou judiciaire.
[...]*

Cela ce rapport à la propriété (c'est pour cela que j'ai mi tout le chemin)
Mais les parents sont bien responsable (du moins dans ce contexte) des actes de leurs enfants.
votre avatar
Ne pas confondre responsabilité civile et pénale
votre avatar
Par définition, dans le code civil, il n'y a pas de pénal.

Oui les parents sont responsables civilement de leurs enfants (y compris quand ceux-ci commettent une infraction pénale). Pas pénalement.

En gros et pour résumer : les parents doivent payer/réparer les dommages causés par leur progéniture avant ses 18 ans. En revanche, ils ne peuvent pas prendre d'amende ou de peine de prison pour les actes commis par leurs enfants mineurs. Et c'est bien le mineur qui aura un casier judiciaire, pas le parent.

Pour résumer encore plus, si un enfant vole la calculatrice de son petit camarade et la détruit :

  • C'est l'enfant qui sera condamné pour vol et destruction de bien, et si le juge est particulièrement énervé et que l'enfant a au moins 13 ans, il pourrait théoriquement aller en prison pour ça.

  • Par contre, c'est au parent de rembourser la calculatrice à la famille du petit camarade.

votre avatar
Comme ci-dessus.
Autan pour moi, j'avais oublié la distinction civil-pénal.

Indépendement je suis tombé sur cette article :
https://www.avocat-rouaselbazis.com/la-responsabilite-civile-et-penale-des-parents-du-fait-de-leur-enfant_ad349.html

Et j'ai trouvé cette parti interessante :
[...]
Les parents peuvent-ils encourir des poursuites pénales dans le cas d’infractions commises par leur enfant ?


Oui, un parent peut être responsable pénalement du fait de son enfant, mais seulement lorsqu’il s’est soustrait « sans motif légitime, à ses obligations légales au point de compromettre la santé, la sécurité, la moralité ou l'éducation de son enfant mineur » (article 227-17 du Code pénal).

Ces obligations parentales sont toutes les obligations liées à l’autorité parentale (article 371-1 du Code civil).



Donc, il faut prouver une réelle défaillance des parents dans l’éducation de leurs enfants. Cela montre un système de responsabilité qui n’est finalement pas tellement contraire au principe de personnalité des peines, puisque le parent sera poursuit pénalement pour une « faute » dans l’exercice de son autorité parentale.
[...]
Pour reprendre mon exemple, ce n'est pas au titre de la "faute du mineur" (cf. mpon exemple de fausse déclaration) mais au manquement des obligations morales. (si j'ai bien compris)

Merci pour les précisions apportées.

[Mode FULL TROLL ; donc c'est pour rire]
Donc à nous tous de nous porter civil contre tout les parents qui laissent leur môme aller sur des sites de Q ; Et à cause de qui on est obligé de montrer patte-blanche maintement....

PS : Patte-blanche...., sans mauvais jeu de mot.
votre avatar
Ah oui, donc l'application utilisée pour prouver que l'on est majeur est réservée aux majeurs.

Pas mal, non?
C'est français.
votre avatar
Pour utiliser France Identité, il faut « être majeur », disposer d’un smartphone compatible et d’une Carte Nationale d’Identité française (les nouvelles, au format CB).
Et signer un contrat de droit privé avec une société américaine au choix : Alphabet ou Apple.

Sinon, ça va chez vous ?
votre avatar
Et aussi être français, ce qui n'est pas le cas de tout ceux qui vivent ou sont simplement de passage en France.
votre avatar
Effectivement, pas moyen de l'avoir depuis Aurora Store.

De toute façon je n'ai pas la nouvelle carte et je n'ai pas l'intention de corriger cela. Plus simple de prendre un VPN.
votre avatar
Mais enfin Next, "on n'en est plus au débat technique" !
C'est l'ancienne ministre de l'IA Chappaz qui le dit : https://video.lqdn.fr/w/1CEdRZqXEXVsJ1pTB3ZN4U, vous êtes dépassés !

Et aussi « n'allez pas nous faire croire que les milliers d'ingénieurs [...] des entreprises des réseaux sociaux ne sont pas capables d'utiliser l'IA pour vérifier l'âges des utilisateurs ! »
(voilà un bel argument d'autorité)

Notez que c'est une réussite pour les sites porno, puisqu'en un an il y a 50% de fréquentation en moins de mineurs (mais je croyais qu'ils étaient anonymes, alors comment on sait qu'ils sont mineurs ? :keskidit:)
votre avatar
Si on a des questions sur l'utilisation d'une carte d'identité dématérialisée non obligatoire et pas disponible pour les moins de 18 ans, ça rentre dans le débat technique ou pas ? :bisous:
votre avatar
Comme l’a indiqué Macro Zedong sur X, une page sur le site officiel France-identite.gouv.fr
:s/cr//
votre avatar
Oui.
Cette fonctionnalité a mis un certain temps pour être réalisée techniquement. Elle visait donc l'âge pour les sites porno et là elle est une solution adaptée. :D
votre avatar
Notez que c'est une réussite pour les sites porno, puisqu'en un an il y a 50% de fréquentation en moins de mineurs (mais je croyais qu'ils étaient anonymes, alors comment on sait qu'ils sont mineurs ?

Bah on sait pas mais comme il y a 50% de baisse de fréquentation en général (*), statistiquement il y a aussi 50% de baisse de mineurs.... non ?

(*): Hors VPN
votre avatar
générer des justificatifs d’identité à usage unique
Fonctionnalité assez récente aussi, arrivée il y a quelques mois. Ça aurait mérité un article dédié. Enfin, la solution technique au vol d'identité que j'attendais depuis longtemps !

Je l'ai utilisée pour la première fois il y a quelques semaines, avec succès (à ma grande surprise), pour les inscriptions électorales.

Maintenant il faudrait que ça soit largement adopté. Je rêve qu au moins les banques soient obligées de prendre en charge ce système.
Même en étant optionnel, ça permettrait déjà à ceux qui l'utilisent d'éviter d'avoir des scans de carte d'identité qui traînent sur différents systèmes.
Pour que ça soit adopté il faut que ça soit connu et que des média comme Next en parle :ouioui:

C'est aberrant le système actuel qui permet d'emprunter de l'argent et de faire plein d'autres démarches en ligne avec un simple scan de la carte d'identité.
votre avatar
Cette fonctionnalité existe depuis le lancement de l'application en 2024!
m.youtube.com YouTube
youtu.be YouTube

Je suis d'accord que c'est une fonctionnalité majeur qui gagnerait à être connue. L'État devrais faire du prosélytisme à son sujet.

Lors de mon dernier essai, le tour operator ne connaissait pas ce document et lui manquait des informations nécessaires à l'enregistrement au près de la compagnie aérienne.
https://www.assemblee-nationale.fr/dyn/17/questions/QANR5L17QE5388
votre avatar
En effet, pourtant j'avais l'appli depuis longtemps mais j ai loupé la fonctionnalité.
J ai vu un article il y a quelques temps et du coup je croyais que ça datait d'octobre/novembre 2025
votre avatar
bah c'est ce qui est demandé, et c'est comme ça. j'ai pas testé depuis un moment mais la dernière fois chez Ikea pour un paiement en plusieurs fois le mec voulait prendre une photo de ma CNI, et quand je lui ai parlé de preuve d'identité de France Identité c'est comme si j'avais parlé en groenlandais.
j'ose même pas imaginer où sont parties se fourrer ces photos non watermarkées de ma pièce d'identité, et qui y a accès. ^^
votre avatar
"Echec de transmission des données" (le site voit bien que j'ai scanné le code puisque qu'une croix apparait aussitôt)
votre avatar
Pareil ici. Et j'ai testé sur plusieurs connexions, avec ou sans mon VPN... Encore une belle réussite.
votre avatar
Trois niveaux sont proposés : plus de 15, 18 ou 21 ans, avec des QR Code différents.
Pourquoi 21 ans ? Il n'y a sauf erreur aucune limite à 21 ans nulle part dans la loi. Bloqué avant Giscard ?
votre avatar
Il y a 24 ans pour être sénateur, mais sinon, rien à ma connaissance.
votre avatar
Oui mais pour être sénateur, ça passe pas par un site web :/
On crée devenirsenateur.fr ?
votre avatar
Peut-être pour une portée internationale de la mesure/protocole, certains pays de l'UE donnerait une majorité à 21 ans?
J'ignore lesquelles, je crois que certains états des USA ont 21 ans comme âge de la majorité.
votre avatar
D'après wikipédia, en UE c'est 18 ans, sauf en Écosse où c'est 16 ans!!
fr.wikipedia.org Wikipedia

C'est le cas de la majorité de pays du monde!

Peut-être que l'âge de 21 ans permet de signifier: forcément majeur!!
votre avatar
Sans parler de majorité, certaines choses en UE sont réservées aux plus de 21 ans. L'achat de cigarettes au Royaume Uni il me semble, ou d'alcool dans certains pays, ou peut être pour louer une voiture.