Les lois sur la vérification de l’âge font face à une opposition croissante au sein de l’industrie technologique. GrapheneOS, le fork Android axé sur la confidentialité, a déclaré qu'il refusera de se conformer aux lois imposant aux systèmes d'exploitation de collecter l'âge des utilisateurs lors de la configuration. Il ajoute qu'il restera utilisable par n'importe qui dans le monde sans exiger d'informations personnelles, de pièce d'identité ni de compte. Si cela implique que ses appareils ne peuvent pas être vendus dans certaines régions, il l'accepte. GrapheneOS a fermé ses portes en France en raison de menaces pesant sur les logiciels axés sur la confidentialité.GrapheneOS est un système d'exploitation mobile renforcé, axé sur la sécurité et la confidentialité. Il est basé sur Android Open Source Project (AOSP). GrapheneOS offre une sécurité améliorée sur certains appareils, notamment Google Pixel, les smartphones, les tablettes et les appareils pliables, grâce à des fonctionnalités comme le sandboxing sécurisé des applications, le démarrage vérifié et des mécanismes avancés de vérification des mises à jour.
Le développement de GrapheneOS a été suivi de près par les défenseurs de la vie privée et les chercheurs en sécurité en raison de sa position intransigeante sur la souveraineté des appareils et de son refus de faire des compromis en matière de chiffrement. Le développement est assuré par la Fondation GrapheneOS, une association canadienne à but non lucratif. L'auteur principal est Daniel Micay, un ancien membre du projet similaire CopperheadOS.
Avec l'essor des lois imposant la vérification de l'âge au niveau du système d'exploitation, GrapheneOS voit ses promesses en matière de confidentialité mises à rude épreuve. Selon ses développeurs, il n'est pas possible de trouver un compromis entre la protection de la vie privée et la vérification de l'âge.
GrapheneOS n'appliquera pas les règles sur la vérification de l'âge
GrapheneOS a déclaré dans un message publié sur X (ex-Twitter) le 20 mars que le projet ne se conformerait pas aux nouvelles lois obligeant les systèmes d'exploitation à collecter des données sur l'âge des utilisateurs lors de la configuration de leurs appareils. Le projet a également déclaré qu'il ne demanderait jamais d'informations personnelles ni d'identification, même si cela signifie que ses appareils ne pourront pas être vendus dans certaines régions.
« GrapheneOS restera accessible à tous, partout dans le monde, sans exiger d'informations personnelles, d'identification ou de compte. Si les appareils GrapheneOS ne peuvent pas être vendus dans une région en raison de la réglementation locale, qu'il en soit ainsi », a déclaré GrapheneOS dans son message.
La déclaration intervient après l'entrée en vigueur de la loi brésilienne Digital ECA (loi 15.211) le 17 mars. Elle impose des amendes pouvant atteindre 50 millions de réais (environ 9,5 millions de dollars) par violation aux fournisseurs de systèmes d'exploitation ne mettant pas en place une vérification de l'âge. De nombreux États américains ont adopté des lois similaires au cours des derniers mois. L'Union européenne étudie également des propositions.
En Californie, le Digital Age Assurance Act (AB-1043), signé par le gouverneur Gavin Newsom en octobre 2025, entrera en vigueur le 1er janvier 2027, et oblige chaque fournisseur de système d'exploitation à collecter l'âge ou la date de naissance de l'utilisateur lors de la création du compte, pour transmettre ces données aux boutiques d'applications et aux développeurs via une API en temps réel. Le Colorado a aussi adopté une loi similaire début mars.
Les législations sont plus intrusives qu'elles n'en ont l'air
Selon l'auteur de l'enquête sur le lobbying de Meta, les projets de loi de vérification de l'âge sont très intrusifs. Ainsi, le projet de loi californien AB-1043 définit le « fournisseur de système d'exploitation » au titre de l'article 1798.500(g) comme « une personne ou une entité qui développe, concède sous licence ou contrôle le logiciel de système d'exploitation sur un ordinateur, un appareil mobile ou tout autre appareil informatique à usage général ».
Chaque fournisseur de système d'exploitation doit alors : fournir une interface lors de la configuration du compte permettant de recueillir la date de naissance ou l'âge, et exposer une API en temps réel qui diffuse la tranche d'âge de l'utilisateur (moins de 13 ans, 13 à 15 ans, 16 à 17 ans, 18 ans et plus) à toute application fonctionnant sur le système. Selon les experts en sécurité, cette législation pose un réel problème en matière de sécurité.
Chaque application sur votre appareil peut interroger une API au niveau du système qui renvoie votre tranche d'âge en temps réel. Il ne s'agit pas d'une vérification de l'âge au moment de l'accès à un contenu restreint. Il s'agit d'un service de diffusion permanente de l'âge intégré au système d'exploitation lui-même, accessible à toutes les applications installées. Cette loi a été signée en octobre 2025 et entrera en vigueur le 1er janvier 2027.
Les mécanismes de protection de la vie privée sont mis à mal
Ces projets de loi ne se contentent pas de vérifier l'âge une seule fois. Ils créent une couche d'identité permanente au sein du système d'exploitation, que les applications peuvent interroger à leur guise. Les fournisseurs de ce système facturent entre 0,10 et 2,00 $ par vérification, exigent l'utilisation de SDK propriétaires, demandent des clés API liées à...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
