Smartphone France Android Edition : L'application de vérification de l'âge de l'Europe est nulle !

Il y a 2 jours, Ursula von der Leyen, la Présidente de la Commission européenne, semblait heureuse et très fière de nous présenter l'European Age Verification Solution dont l'objectif officiel est d'assurer la sécurité des plus jeunes face au numérique mais dont le but non avoué est certainement de participer à la surveillance de masse du peuple européen. Selon elle il s'agit de LA SOLUTION qui devrait permettre à nos enfants de ne pas de perdre dans les méandres obscurs d'Internet et ses sites non fréquentables.

Cette application mobile étant open source, Paul Moore, un professionnel de l'informatique britannique, a analysé quelques parties du code source de l'application et a réussi à "la hacker" en moins de 2 minutes selon ses propres mots ! Selon lui l'application est mal développée en termes de sécurité et est loin des promesses de la Présidente de la Commission européenne dont les compétences en numérique sont certainement au même niveau que nos compétences en reproduction des crevettes en captivité ! Une situation qui ne nous étonne pas du tout. C'est même le contraire qui nous aurait étonné !

Voici les premières lacunes que Paul a découvert dans ce logiciel dans sa version Android. Lors de sa configuration initiale, l'application vous demande de créer un PIN. Après saisie, l'application *chiffre* ce code et le sauvegarde dans un répertoire "shared_prefs" :
- 1. Il ne devrait pas être chiffré du tout - c'est un design vraiment médiocre.
- 2. Il n'est pas lié cryptographiquement au coffre-fort qui contient les données d'identité.
Ainsi, un attaquant peut simplement supprimer les valeurs PinEnc/PinIV du fichier shared_prefs puis redémarrer l'application. Après avoir choisi un nouveau PIN, l'application présente les identifiants créés sous l'ancien profil et permet à l'attaquant de les présenter comme valides !

Il a découvert d'autres problèmes d'architecture qu'on pourrait qualifier d'erreurs de débutant :
- 1. La limitation de nombre de validation possible est un nombre incrémentiel dans le même fichier de configuration. Il suffit de le réinitialiser à 0 et de continuer à essayer !
- 2. Le paramètre "UseBiometricAuth" est un booléen, également dans le même fichier. Réglez-le sur false et cela saute simplement cette étape !

Pour une première analyse réalisée à la va-vite, le constat est sans appel, le logiciel est très mal développé et c'est à lui que nous devrions confier la sécurité numérique de nos enfants. Une situation à l'image de nos dirigeants et du numérique. Des décideurs incompétents qui font des choix à notre place et à qui nous devons faire confiance. Une affaire à suivre de prêt car même si l'application est nulle, l'Europe l'imposera à tous ses citoyens. Nous surveiller est un de leurs objectifs premier et pour ça ils sont prêts à tout.