Contournement facile, données personnelles collectées… Les logiciels pour vérifier l'âge des visiteurs de sites pornographiques sont-ils fiables ?

Circulez, il n'y a plus rien à voir – si vous êtes mineur, du moins. Depuis le 7 juin, les sites pour adultes les plus fréquentés en France ont l'obligation de contrôler l'âge des internautes, sous peine de sanctions. Derniers en date, cinq nouveaux sites pornographiques se sont conformés à cette obligation fin août après une mise en demeure de l'Arcom, le gendarme français du numérique, qui leur reprochait de traîner des pieds.

Ces sites sont donc aujourd'hui inaccessibles aux mineurs. A moins que ? Malgré les promesses, une bonne partie des logiciels de contrôle de l'âge actuellement utilisés peuvent être bernés sans effort, quand certains sites de vidéos pour adultes ne laissent pas tout simplement des failles béantes.

L'un des logiciels les plus répandus pour vérifier l'âge d'un internaute, c'est le britannique Yoti. Il permet de passer par deux canaux : le visiteur peut utiliser son application mobile Yoti, où il aura préalablement validé son identité avec photo, selfie vidéo/audio et pièce d'identité ; ou bien il peut prendre une photo depuis sa webcam ou son téléphone, qui sera analysé par une IA pour estimer son âge.

Quand les machines bernent les machines

La deuxième technique paraît plus légère ? Elle l'est, et sa fiabilité aussi. Franceinfo a pu être certifié "majeur" en un claquement de doigts en montrant à Yoti un autre écran d'ordinateur qui affichait un modèle 3D représentant un buste d'homme plus âgé. Un contournement accessible à n'importe qui sur internet, y compris des mineurs.

Les tests de franceinfo ont permis de constater le même problème avec l'option de vérification par selfie du logiciel espagnol Agerify, du chypriote friendlyID ou du portugais AgeVerif, l'une des solutions les plus répandues. Pourtant, dans ses exigences "minimales", l'Arcom impose aux logiciels de contrôle de l'âge de contenir "un mécanisme de reconnaissance du vivant (...) conforme à l'état de l'art".

Yoti explique à franceinfo avoir "immédiatement lancé une enquête" et a déterminé que la faille provient d'un de leurs "fournisseurs de modèle de détection du vivant", "lorsque la technologie est utilisée via un certain matériel informatique". "Nous réfléchissons à la meilleure approche pour résoudre ce problème", promet l'entreprise.

AgeVerif affirme de son côté que cette méthode de contournement "est d'ores et déjà prise en compte par [son] équipe (...) afin qu'une parade soit trouvée et mise en place rapidement", mais juge qu'"avec l'évolution constante des technologies, il y aura toujours des moyens plus sophistiqués que les précédents pour tenter de déjouer un système comme l'estimation d'âge par selfie". "Nous constatons que le référentiel de l'Arcom n'indique rien de précis et ne propose aucune certification, ce qui n'aide en rien à faire évoluer la situation", ajoute le porte-parole d'AgeVerif. FriendlyID et Agerify n'ont quant à eux pas répondu à nos sollicitations avant la publication de cet article.

Enfin, le site 20 Minutes affirme avoir pu duper la vérification d'âge fournie par Pleenk, à l'aide d'une "vidéo d'un visage d'adulte enregistrée sur un téléphone" et d'une fausse carte d'identité d'un "avatar IA". Et même le logiciel le plus fiable possible peut être contourné via un VPN.

Des sites qui flirtent avec la ligne rouge

D'autres sites pour adultes semblent s'écarter encore davantage des règles. L'un d'eux, heureporno, utilise Pumpverify, un agrégateur de solutions de vérification d'âge espagnol qui impose d'abord de s'inscrire via une adresse mail. Une fois inscrit, l'agrégateur propose de confirmer son âge via plusieurs solutions... mais aussi de "continuer vers le site sans vérification", ce qui permet à n'importe qui d'accéder aux contenus pornographiques, y compris aux mineurs.

Enfin, franceinfo a pu accéder à un autre site pornographique ciblé par la loi française (reference-sexe) sans passer par le moindre processus de vérification d'âge. Tout juste la plateforme demande-t-elle à l'utilisateur s'il a plus de 18 ans, de manière purement déclarative. Une option insuffisante pour un des sites visés nommément par le droit français. Contactés, heureporno, reference-sexe et Pumpverify n'ont pas donné suite avant la publication de cet article.

Le président de l'Arcom, Martin Ajdari, a expliqué dans La Croix le 1er septembre que le régulateur s'était d'abord focalisé sur les sites pour adultes les plus fréquentés, et qu'il comptait ensuite "s'attaquer à la strate suivante" moins visitée (dont font partie les deux dernières plateformes évoquées).

"Double anonymat", vraiment ?

La fiabilité de certains logiciels de contrôle de l'âge est remise en cause, mais respectent-ils leurs promesses en matière de gestion des données personnelles ? Les systèmes qui promettent une vérification en "double anonymat" doivent en effet chiffrer les informations pour que le site pornographique ne sache pas quel service de vérification est utilisé, et pour que le service de vérification ne sache pas quel site l'internaute veut consulter. Sans cette sécurité supplémentaire, un service de vérification pourrait en théorie savoir quel site réclame une preuve d'âge, et donc savoir à quelle fréquence un internaute visite des sites pornographiques.

Mais une publication récente jette le doute sur la confidentialité du logiciel AgeGO, utilisé par trois des principaux sites pour adultes en France et présenté sur chacun d'eux comme une solution respectant le "double anonymat". Une étude de l'ONG AI Forensics a relevé que lorsqu'un internaute veut consulter un site pour adultes et vérifie son âge via AgeGO, son navigateur envoie au serveur d'AgeGO l'adresse exacte de la vidéo à laquelle l'internaute veut accéder, afin de le rediriger vers cette page une fois la vérification complétée.

AI Forensics reste prudent et souligne que ses résultats ne constituent pas une preuve d'infraction à la réglementation française. L'Arcom affirme de son côté avoir reçu le rapport et "travailler en concertation avec la Cnil [Commission nationale de l'informatique et des libertés]" à son analyse.

Les régulateurs peuvent-ils agir contre ces écueils techniques ? Selon le référentiel de l'Arcom, les entreprises sont "encouragées" à réaliser un audit de leur système, "d'abord sous six mois à compter de la publication du présent référentiel, puis au moins chaque année". Mais ce qui est attendu de ces audits (qui les réalise ? Que contrôler ? Qui en assume le coût ?) n'a pas encore été précisé.