Blog

Le système britannique de vérification de l'âge sur Internet expliqué pour la cybersécurité

L'objectif du système britannique de vérification de l'âge sur Internet est de protéger les enfants qui naviguent sur le web. Mais ces contrôles introduisent de nouveaux risques en matière de cybersécurité et de vie privée.

Jul 29, 2025 • 6 min read

Simon Wijckmans Founder & CEO

UK-Internet-Age-Verification-Blog-Banner

Le gouvernement britannique a instauré une nouvelle loi sur la vérification de l'âge dans le cadre de l'Online Safety Act 2023, entrée en vigueur le 25 juillet 2025.

Ces règles obligent les utilisateurs à prouver qu'ils ont plus de 18 ans avant d'accéder à certains contenus en ligne. Il s'agit principalement des sites pornographiques ou des plateformes qui promeuvent l'automutilation, le suicide, les troubles alimentaires et d'autres contenus potentiellement nuisibles.

L'objectif du système britannique de vérification de l'âge sur Internet est de protéger les enfants qui naviguent sur le web.

Si l'intention de protéger les enfants est louable, une vérification de l'âge rigoureuse implique souvent d'exposer des informations personnelles sensibles. Ces contrôles introduisent de nouveaux risques en matière de cybersécurité et de vie privée.

Pop-up de vérification de l'âge demandant la création d'un compte

Comment fonctionne le système britannique de vérification de l'âge sur Internet

Les utilisateurs doivent prouver leur âge pour accéder aux sites web à contenu adulte ou aux sites faisant la promotion de sujets nuisibles
Les sites web doivent utiliser des méthodes strictes pour vérifier l'âge des utilisateurs, telles que :

Le téléchargement d'une pièce d'identité (passeport ou permis de conduire)
La prise d'un selfie et l'utilisation d'un logiciel de vérification de l'âge par reconnaissance faciale
La confirmation de l'âge via une carte de crédit ou de débit

Les plateformes comme Reddit, X (Twitter) et d'autres sites polyvalents doivent s'assurer que les mineurs ne peuvent pas accéder aux contenus pour adultes.
Les sites non conformes peuvent être :

Bloqués au Royaume-Uni
Sanctionnés d'une amende pouvant atteindre 18 millions de livres sterling ou 10 % du chiffre d'affaires mondial

Ce que cela signifie en pratique (et pour la cybersécurité)

1. Les utilisateurs vont recourir aux VPN pour contourner les lois britanniques sur la vérification de l'âge

Les sites web utilisent l'adresse IP du demandeur pour déterminer l'origine de la requête, ce qui est facilement contournable. Pour éviter ces contrôles, de nombreux utilisateurs se tournent vers les VPN et modifient leur localisation en dehors du Royaume-Uni. Les données de recherche sur l'App Store indiquent déjà une augmentation significative des téléchargements de VPN depuis le déploiement de la loi.

2. Multiplication des faux sites VPN, des pages de phishing et des logiciels malveillants

Les cybercriminels sont au fait de ce changement et lancent déjà de faux services VPN ciblant les mineurs ainsi que des sites de phishing imitant de véritables portails de vérification de l'âge.

Ces sites contiennent le plus souvent des logiciels espions, des logiciels malveillants ou des mineurs de cryptomonnaies.

Même les annonces Google Search ont déjà affiché des liens sponsorisés malveillants menant à des téléchargements dangereux. Il y a fort à parier que nous assisterons à nouveau à ce phénomène.

Cela ouvre la voie à une forte hausse du vol d'identité, de la collecte d'identifiants et des infections par logiciels malveillants, en particulier chez les utilisateurs cherchant à contourner la vérification.

3. JavaScript malveillant et abus de scripts tiers

De nombreux sites web externalisent les contrôles d'âge à des SDK tiers ou à des widgets intégrés. Cela introduit des risques considérables dans la chaîne d'approvisionnement côté client. Comme pour d'autres dépendances, des attaquants peuvent lancer des attaques de type Magecart pour collecter :

Des photos de pièces d'identité téléchargées
Des coordonnées bancaires
Des selfies téléchargés
D'autres informations personnelles

Exemples de méthodes d'attaque :

Injection de balises <script> malveillantes dans les flux de vérification
Utilisation de faux overlays <input> pour usurper des formulaires d'identité
Manipulation du DOM pour exfiltrer des données avant leur chiffrement ou leur envoi

Tout cela est bien connu dans le domaine de la sécurité côté client, où ce type d'attaque est devenu le plus répandu — et celui que les audits traditionnels manquent le plus souvent.

4. Extensions de navigateur dangereuses

Toujours dans la continuité du point sur les VPN, les utilisateurs cherchant à contourner les restrictions peuvent installer des extensions de navigateur VPN douteuses. Nous avons récemment expliqué en détail pourquoi les extensions de navigateur sont si dangereuses.

Elles peuvent :

Détourner le trafic
Injecter des publicités ou des liens d'affiliation
Enregistrer l'historique de navigation
Être revendues à des acteurs malveillants — c'est une pratique courante

5. Exploitation des API et des tokens

Partout où des données personnelles (PII) sont collectées, les attaques se multiplient. Comme nous l'avons vu récemment avec l'application Tea, dont le backend a été compromis et toutes les données personnelles des utilisateurs ont été divulguées. À l'instar du système britannique de vérification de l'âge sur Internet, Tea collectait également des vérifications via photo d'identité et d'autres informations personnelles. Puisque les plateformes elles-mêmes sont responsables de cette vérification de l'âge, cela ne fait qu'augmenter le nombre de cibles potentielles pour des attaques.

Menaces futures à anticiper

Type de menace	Description
Vol d'identité par phishing	Faux portails de vérification de l'âge collectant les pièces d'identité téléchargées
Deepfakes et substitutions de visage	Selfies volés utilisés pour créer des usurpations d'identité générées par IA
SDK de vérification de l'âge malveillants	Attaques de la chaîne d'approvisionnement côté client ciblant les bibliothèques de vérification de l'âge intégrées
Surveillance et traçage	Outils de vérification de l'âge qui suivent les utilisateurs sur différents sites web sous couvert de sécurité
VPN honeypots	Faux VPN qui enregistrent l'activité des utilisateurs et collectent des données personnelles
Credential stuffing	Identifiants de connexion réutilisés, volés via du phishing ou de faux SDK
Skimming de données personnelles de type Magecart	Scripts malveillants récupérant les images de pièces d'identité et les données saisies dans des formulaires sensibles
Attaques par superposition de formulaires	Faux champs de formulaire utilisés pour dérober les données des utilisateurs avant leur envoi

Bonnes pratiques

Pour les utilisateurs :

N'utilisez que des fournisseurs de VPN de confiance
Ne téléchargez jamais de documents d'identité sur des sites web non vérifiés
Évitez d'installer des extensions de navigateur provenant de développeurs inconnus et assurez-vous que l'extension dispose d'avis positifs et légitimes
Effacez régulièrement les cookies et les données de session. Cela contribue à réduire le traçage passif et l'exposition aux fuites de données intersites

Pour les développeurs :

Auditez toutes les bibliothèques JavaScript et SDK tiers — côté client, middleware et côté serveur
Mettez en place une stratégie stricte de Content Security Policy (CSP) — dans la mesure du possible
Utilisez la Subresource Integrity (SRI) — dans la mesure du possible
Configurez le Cross-Origin Resource Sharing (CORS)
Prévenez le Cross-Site Scripting (XSS) en assainissant les entrées utilisateur et en utilisant des frameworks de templating sécurisés
Ajoutez un système de tokens sécurisés
Surveillez le DOM et les requêtes réseau

cside peut vous aider sur plusieurs de ces points.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

L'Online Safety Act 2023 oblige les sites web hébergeant du contenu pour adultes et des contenus potentiellement nuisibles à vérifier que les visiteurs ont plus de 18 ans. Cela peut se faire en permettant aux visiteurs de télécharger une pièce d'identité officielle, d'estimer l'âge par reconnaissance faciale via un selfie, ou de valider la possession d'une carte de crédit ou de débit.

Les sites web basés au Royaume-Uni comme ceux accessibles depuis le Royaume-Uni sont tenus de se conformer à cette loi. Les plateformes qui ne le font pas risquent d'être bloquées ou sanctionnées par l'Ofcom (Office of Communications).

Les utilisateurs peuvent contourner le système en utilisant un VPN pour simuler une localisation hors du Royaume-Uni. Cela a déjà entraîné une forte hausse des téléchargements de VPN. L'utilisation d'un VPN n'élimine pas pour autant les risques de cybersécurité introduits par ces systèmes de vérification.

La loi a été créée pour protéger les enfants, mais elle comporte des risques pour la vie privée si la vérification est mal gérée. Les utilisateurs sont invités à télécharger des données sensibles, qui peuvent être exposées via des sites de phishing, des VPN infectés par des logiciels malveillants ou des outils de vérification tiers compromis. Ces systèmes de vérification de l'âge deviendront des cibles pour le vol d'identité et la surveillance.

La vérification de l'âge introduit une nouvelle surface d'attaque pour les cybercriminels, d'autant plus que de nombreuses plateformes ont dû la mettre en œuvre rapidement sous peine de perdre des revenus. Les documents d'identité constituent un actif de grande valeur. Les attaques visant à détourner ou à imiter des systèmes de vérification d'identité vont se multiplier. La normalisation de l'utilisation d'informations personnelles sensibles est, de manière générale, une évolution négative.

Pour les utilisateurs : soyez prudents lorsque vous téléchargez des documents d'identité sur des sites web. Vérifiez toujours que c'est nécessaire et, si vous avez le choix, optez pour des méthodes moins risquées. Le vol d'identité est difficile à corriger ; faire opposition à une carte bancaire est souvent plus simple. Si vous décidez d'utiliser un VPN, choisissez des fournisseurs réputés. Évitez d'installer des extensions de navigateur inconnues. Les développeurs doivent traiter le navigateur comme une frontière de sécurité critique en auditant tous les scripts tiers et en adoptant des solutions de sécurité côté client.

La vérification de l'âge est exigée dans le cadre de l'Online Safety Act 2023. Cette loi vise à empêcher les enfants d'accéder à des contenus nuisibles en ligne. Les types de contenus concernés incluent la pornographie ainsi que les contenus liés à l'automutilation, au suicide et aux troubles alimentaires.

Tout site ou application hébergeant du contenu pour adultes ou des contenus considérés comme nuisibles pour les enfants doit se conformer à cette loi. Cela inclut également les plateformes sociales où de tels contenus peuvent être partagés, comme Reddit, Discord, Bluesky, X/Twitter et d'autres — soit plus de 6 000 plateformes à ce jour.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Comment Prévenir la Création de Faux Comptes : Pourquoi la Détection au Niveau du Navigateur Capte ce que la Vérification d'E-mail Manque

La vérification d'e-mail confirme qu'une boîte mail existe. Elle ne voit pas le navigateur. Voici pourquoi la détection au niveau du navigateur capte les faux comptes qu'elle manque.

Attaque de la chaîne d'approvisionnement Polyfill.io : chronologie complète, analyse et leçons (2024–2026)

Une chronologie complète et sourcée de l'attaque Polyfill.io, de la vente du domaine en 2024 aux sanctions contre Funnull en 2025, et comment la supprimer aujourd'hui.

Couverture sombre du blog cside avec fond de pixels bleus et trois coches : pourquoi les règles de vélocité ratent les agents de test de cartes IA, les signaux navigateur qui les révèlent et comment bloquer le paiement avant le checkout

Comment Bloquer les Agents de Test de Cartes Basés sur l'IA

Les agents IA de test de cartes sondent les flux de paiement avec de vrais navigateurs. Découvrez les signaux qui les exposent avant la finalisation d'une transaction.

Plateforme de sécurité cside classifiant plusieurs connexions d'agents IA — détection d'agents au niveau du navigateur et gestion de la confiance

Comment choisir une solution de détection des agents IA

Guide en cinq étapes pour les RSSI évaluant des solutions de détection des agents IA : architecture, classification, profils de fournisseurs et méthodologie de POC.

Couverture de blog cside montrant une interface navigateur filtrant le trafic des bots et agents IA en chemins approuvés et bloqués

Meilleures Plateformes de Gestion de Confiance des Bots et Agents Comparées (2026)

Forrester définit la catégorie. cside, DataDome, HUMAN Security, Kasada et Arkose Labs comparés sur la couche de détection, l'intention et la couverture agentique.

bouclier de sécurité cside surveillant le parcours du curseur navigateur — détection d'agents IA au niveau navigateur

Comment Bloquer OpenAI Operator sur Votre Site Web

OpenAI Operator navigue votre site comme un utilisateur réel. Apprenez à le détecter via les signaux navigateur et quand ne pas le bloquer.

DBSC face à l'empreinte d'appareil : ce que la sécurité de session de Chrome ne couvre pas

Le DBSC de Chrome bloque le rejeu de cookies volés, mais reste limité à Chrome, post-connexion et sans identité d'appareil. Voici la fraude qu'il laisse.

Détecter et bloquer Perplexity Shopper sur votre site web — blog cside

Comment bloquer Perplexity Shopper sur votre site web

Perplexity Shopper navigue et achète sur les sites e-commerce au nom des utilisateurs Pro. Apprenez à détecter ses signaux et à gouverner ce trafic.

Illustration d'une requête à l'API Claude et d'une réponse renvoyée appartenant à un autre utilisateur, marquée « la réponse ne correspond pas à la requête », entre les logos d'Anthropic et de cside

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.

Un jeton d'accès OAuth 2.0 au centre d'un schéma reliant un appareil légitime à l'appareil d'un attaquant

Ce n'est pas la MFA qui a échoué, mais le modèle de confiance : phishing par code d'appareil et vol de jetons OAuth (Kali365)

Kali365 détourne l'octroi d'autorisation d'appareil d'OAuth 2.0 pour voler des jetons Microsoft 365 après la MFA. Décryptage technique du flux, de FOCI et de la détection.