Le portefeuille de monnaie d’identité numérique de l’Union européenne prévoit une vérification d’âge intégrée à Google et Apple, et des objections émergent sur GitHub

Les spécifications de vérification d’âge du portefeuille d’identité numérique de l’UE (EU Digital Identity Wallet) prévoient de lier l’application et la validation de l’authenticité des appareils à l’API Google Play Integrity et à l’Apple App Attestation ; après la divulgation de la nouvelle, le fil de discussion officiel sur GitHub a été submergé, et la communauté des développeurs s’est quasiment unanimement opposée.

Raisons de l’opposition des développeurs : la solution de remplacement néerlandaise Yivi est déjà validée, et l’obligation de liaison viole deux principes majeurs

D’après les commentaires du fil GitHub, les trois arguments centraux des opposants sont les suivants :

La néerlandaise Yivi propose déjà une alternative non Google : l’application d’identité néerlandaise Yivi (anciennement IRMA) peut réaliser la vérification d’âge sans dépendre de services Google, et elle est déjà disponible dans le magasin open source F-Droid, démontrant directement que l’intégration à Play Integrity n’est pas une condition nécessaire sur le plan technique.

La spécification se contredit : la spécification du portefeuille d’identité numérique de l’UE fixe trois principes, et imposer en même temps la liaison aux services d’attestation privés de Google et Apple enfreint simultanément les principes d’« interopérabilité » et d’« normes ouvertes ».

Problème de souveraineté numérique : les services gouvernementaux ne devraient pas dépendre de services tiers externes ; si Google ou Apple modifient leurs politiques, retirent des services, ou si une faille systémique survient, les mécanismes de vérification d’identité de chaque pays seront contraints de s’arrêter.

Chercheur en sécurité : brève méthode pour contourner le code PIN de l’app

D’après un article, un chercheur en sécurité a testé et constaté qu’il suffit, sur un appareil Android, de modifier un fichier de préférences en texte brut, de supprimer l’entrée du PIN chiffré et de désactiver la valeur booléenne de l’identification biométrique ; en moins de 2 minutes, il est alors possible de réinitialiser le PIN de l’app, de désactiver l’ouverture de session via biométrie, et les identifiants stockés peuvent encore être récupérés intégralement ; un autre chercheur a reproduit cette faille et a documenté davantage de problèmes, dont le stockage non chiffré des données personnelles.

Ces problèmes de sécurité ont été utilisés par certains commentaires pour remettre en question la légitimité de l’immobilisation de l’ensemble du système sur une authentification matérielle : pour empêcher une intrusion à distance, est-ce que cela vaut la peine de lier toute la chaîne à une validation matérielle ? Certains développeurs remettent aussi en cause le fait que la vérification d’âge doive être faite sous forme d’application native ; avec des Web Apps modernes et l’API Digital Credentials, on peut également obtenir le même résultat.

Pays-Bas et Italie adoptent Google Play Integrity

D’après un article, l’attitude des gouvernements face à ce mécanisme n’est pas uniforme : les Pays-Bas et l’Italie adoptent actuellement Google Play Integrity sans conditions ; la Suisse, elle, pour des raisons de protection des données, de souveraineté des données et de liberté de choix des utilisateurs, a recours au mécanisme d’authentification intégré à Android, et a donc renoncé à Play Integrity.

Pour les solutions de remplacement, le fournisseur d’apps de vérification d’âge Scytales a indiqué que l’intégrité de son application de vérification d’âge pour l’UE ne dépend pas de Google ou d’Apple ; l’« Unified Attestation » lancée par Volla Systeme GmbH fournit des jetons d’intégration à durée limitée et des fonctions de validation hors ligne, et peut coexister avec Play Integrity ; aux yeux de certains commentaires, il s’agit d’une solution de compromis.

Questions fréquentes

Pourquoi les développeurs s’opposent-ils au fait que le portefeuille d’identité numérique de l’UE soit lié à Google Play Integrity ?

D’après le fil de discussion sur GitHub, les raisons principales sont notamment : l’application Yivi des Pays-Bas a effectué la vérification d’âge sans dépendre des services Google, prouvant qu’il existe des solutions de remplacement ; l’obligation de liaison viole les principes d’« interopérabilité » et d’« normes ouvertes » définis par la spécification de l’UE ; un service gouvernemental reposant sur les politiques de plateformes privées pourrait entraîner des risques de souveraineté numérique.

À quoi correspond concrètement l’avertissement DMA de Waag Futurelab ?

D’après un article, l’organisation néerlandaise à but non lucratif Waag Futurelab avertit dans son article que la conception de l’API Google Play Integrity pourrait transformer les gouvernements en exécutants des politiques de plateformes de sociétés privées, et que sa conception pourrait entrer en conflit avec le règlement de l’UE sur les marchés numériques, le « Digital Markets Act » (DMA), visant à empêcher la monopolisation par de grandes entreprises.

Quelle différence y a-t-il dans la position des pays concernant l’intégration de Google Play Integrity ?

D’après un article, les Pays-Bas et l’Italie adoptent Google Play Integrity sans conditions ; la Suisse, en revanche, invoque la protection des données, la souveraineté des données et la liberté de choix des utilisateurs pour utiliser le mécanisme d’authentification intégré à Android, et renonce à Play Integrity.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire