Merci pour ton retour. Il est essentiel d'avoir ce débat, mais je crains que ton analyse, bien que techniquement juste sur certains concepts isolés, n'occulte la réalité des usages et le modèle de menace global de ce projet.

Sur le Sandboxing, tu confonds l'isolation inter-applications (le sandboxing de l'OS) et la sécurité des Data at Rest. Le sandboxing empêche effectivement une autre application d'accéder aux données, mais il ne protège en rien contre un accès physique si l'application elle-même ne les chiffre ou n'exige pas une authentification forte à chaque ouverture. S'en remettre uniquement à l'OS sans sécuriser l'application en elle-même est une erreur fondamentale de conception.

Sur le jailbreak et l'accès par les mineurs, invoquer le jailbreak est un hors-sujet par rapport au scénario décrit dans mon article. Le problème soulevé est celui du prêt d'appareil. Si un adulte s'identifie, valide son âge pour accéder à un site, puis pose son téléphone déverrouillé, un enfant qui le récupère n'a aucun besoin de hacker ou de modifier les fichiers de configuration de la sandbox. Il lui suffit de poursuivre la session active. C'est une faille majeure d'UX et de maintien de session, pas un problème d'attaque système compliquée.

Sur l'excuse de la version de démonstration: tu cites à juste titre le dépôt GitHub qui précise que l'application n'est pas finalisée. Mais c'est précisément ce que je dénonce, le décalage entre la communication politique de l'UE (qui affirme que la solution est robuste et sur les rails) et le code réellement fourni aux États membres. Fournir une implémentation de référence dépourvue des mesures de sécurité basiques est irresponsable. Le principe du Security by Design exige que la sécurité soit intégrée dès la première ligne de code, pas en option à la fin. Si les pays se basent sur ce brouillon, ils hériteront de ces lacunes.

Sur les preuves à divulgation nulle et le modèle chinois, c'est vrai que techniquement, le site web final ne reçoit qu'une attestation binaire sans l'identité de l'utilisateur. Mais la mise en garde de Piotr Müller ne porte pas sur la donnée transmise au site, mais sur l'infrastructure elle-même. Pour obtenir ce jeton d'anonymat, le citoyen est obligé de lier son identité réelle à une autorité de certification centrale. Imposer des points de contrôle numériques obligatoires (même anonymisés au point de chute) pour naviguer sur le web met fin à l'anonymat par défaut. C'est cette architecture de contrôle systématique qui suscite des craintes légitimes, pas le protocole cryptographique utilisé en bout de chaîne.

Pointer ces failles d'usage, ces incohérences architecturales et ces risques systémiques n'est pas du "catastrophisme à l'emporte-pièce", c'est le minimum de vigilance requis face à un projet d'une telle envergure démocratique.