La plate-forme de communication Discord a été critiquée après avoir découvert que le code frontal de son logiciel de vérification Persona Identity était accessible sur Internet ouvert et sur les serveurs gouvernementaux.
Les chercheurs ont noté dans X avoir découvert environ 2 500 fichiers accessibles sur des terminaux approuvés par le gouvernement américain. Ces fichiers montraient que Persona effectuait des contrôles de reconnaissance faciale sur une liste de surveillance et sélectionnait les utilisateurs sur une liste d’individus politiquement exposés.
Les chercheurs ont découvert qu’en plus de vérifier l’âge d’un utilisateur, Persona effectue 269 contrôles de vérification distincts, notamment la recherche de « médias nuisibles » dans 14 catégories différentes, telles que le terrorisme et l’espionnage. Nous attribuons ensuite des scores de risque et de similarité aux informations des utilisateurs.
Et cette information était ouvertement disponible. « Nous n’avons pas eu besoin d’écrire ou d’exécuter un seul exploit ; toute l’architecture était à portée de main », ont déclaré les chercheurs dans un article de blog, ajoutant qu’ils avaient également trouvé 53 mégaoctets de données sur les terminaux gouvernementaux du Programme fédéral de gestion des risques et des autorisations (FedRAMP) et « des rapports marqués avec des noms de code provenant de programmes de renseignement actifs ».
Discord a depuis annoncé rompre ses liens avec Persona. Le logiciel d’IA a été partiellement financé par le Venture Founders Fund du co-fondateur de Palantir, Peter Thiel, et continue de fournir des services de vérification de l’âge à OpenAI, Lime et Roblox.
Persona et Discord ont tous deux confirmé à Fortune que le partenariat avait duré moins d’un mois et avait depuis été dissous. Selon Discord, seul un petit nombre d’utilisateurs ont participé au test et les informations soumises pouvaient être stockées jusqu’à sept jours avant d’être supprimées.
Échec de l’examen de sécurité de Discord
Ce n’est pas la première fois qu’un fournisseur tiers fait l’objet d’une surveillance étroite pour mauvaise gestion des informations sensibles des utilisateurs sur Discord, qui est populaire parmi les communautés de joueurs, d’étudiants, d’influenceurs, de professionnels de la technologie et autres.
L’année dernière, des pirates ont accédé aux cartes d’identité gouvernementales de plus de 70 000 personnes qui s’étaient conformées aux exigences de vérification de l’âge.
La société a déclaré dans un communiqué du 9 octobre 2025 que l’attaque n’était « pas une violation de Discord, mais plutôt une violation de 5CA, un fournisseur de services tiers ». Discord a déclaré que la violation n’affectait que les utilisateurs qui communiquaient avec le support client de l’entreprise ou avec les équipes de sécurité de confiance.
« La protection de la vie privée et de la sécurité de nos utilisateurs est une priorité absolue chez Discord, c’est pourquoi il est important pour nous d’être transparents avec nos utilisateurs sur les événements qui affectent leurs informations personnelles », ajoute le communiqué. Les utilisateurs concernés recevaient un e-mail si leur identifiant gouvernemental, leur adresse IP ou leurs données de facturation ou d’entreprise limitées étaient compromises.
Et plus tôt ce mois-ci, Discord a fait face à des réactions négatives peu de temps après avoir annoncé que tous les comptes seraient par défaut configurés sur des paramètres sécurisés pour les adolescents. Les utilisateurs souhaitant accéder à des fonctionnalités supplémentaires doivent vérifier leur âge à l’aide d’un personnage.
« Le déploiement mondial de la solution par défaut pour adolescents s’appuie sur l’architecture de sécurité existante de Discord », a déclaré Savannah Badalich, responsable de la politique produit de Discord, dans un communiqué. La société « continue de travailler avec des experts en sécurité, des décideurs politiques et des utilisateurs de Discord pour soutenir une santé significative et à long terme ».
Cependant, après que les utilisateurs ont rapidement signalé le piratage de données d’octobre, Discord a modifié sa déclaration le lendemain pour préciser que la vérification de l’âge reste une option à moins que les utilisateurs ne souhaitent accéder à des serveurs ou à des chaînes soumis à une limite d’âge.
Discord a déclaré qu’il pouvait déterminer l’âge de la plupart des utilisateurs en utilisant « les informations dont il dispose déjà ». La plupart des utilisateurs n’auront pas besoin de télécharger leur pièce d’identité gouvernementale et pourront plutôt choisir une vidéo selfie.
« Nous proposons plusieurs options axées sur la confidentialité par l’intermédiaire de partenaires de confiance », indique l’addendum, ajoutant : « Votre scan facial ne quitte jamais votre appareil. Discord et nos partenaires fournisseurs ne le reçoivent jamais. »
Tous les documents d’identification téléchargés sur Discord seront soumis au fournisseur tiers de la plateforme et seront immédiatement supprimés. « Dans la plupart des cas, cela se produit immédiatement après la vérification de l’âge », indique le communiqué.
« La pièce d’identité ne sera utilisée que pour obtenir votre âge et sera ensuite supprimée. » « Discord ne prend que votre âge et c’est tout. Votre identité ne sera jamais associée à votre compte. »
Cependant, une version supprimée depuis de la FAQ de Discord concernant sa politique de vérification de l’âge semble contredire les affirmations de l’entreprise sur la durée pendant laquelle les pièces d’identité gouvernementales sont conservées par des fournisseurs tiers, dans ce cas Persona.
« Important : si vous vivez au Royaume-Uni, vous participez peut-être à une expérience dans laquelle vos informations seront traitées par Persona, un fournisseur garanti par l’âge », indique une version archivée du site. « Les informations que vous soumettez seront temporairement stockées pendant sept jours maximum, puis supprimées. La vérification d’identité brouille tous les détails autres que votre photo et votre date de naissance, de sorte que seul ce qui est réellement nécessaire pour vérifier votre âge est utilisé. »
Les personas deviennent personnels
Rick Song, PDG et co-fondateur de Persona, a déclaré à Fortune que ces fichiers ne sont pas des vulnérabilités, mais des informations frontales accessibles au public. « Ce que nous avons trouvé était un fichier frontal non compressé qui se trouvait déjà sur les appareils de tout le monde », a-t-il déclaré, ajoutant que les informations sont disponibles dans le centre d’aide de l’entreprise et dans la documentation de l’API. « Je ne pense pas que ce soit une bonne idée de mettre en ligne des fichiers non compressés », a poursuivi Song, mais a ajouté que les informations trouvées par les chercheurs étaient une version non compressée de la carte source compressée d’une entreprise qui était en ligne.
« Je pense que c’est l’une des choses qui semble la plus effrayante dans son contenu, mais… en interne, nous ne pensions pas qu’il s’agissait d’une vulnérabilité significative. »
Song considère toujours le partenariat entre Persona et Discord comme un succès. « Je pense que les performances du produit ont été incroyablement réussies », a déclaré le PDG à Fortune. « La raison pour laquelle nous pouvons dire que toutes les données ont été immédiatement modifiées est parce que les données ont été modifiées. Elles étaient déjà modifiées au moment du traitement. La résiliation du contrat ne signifie pas que les données sont supprimées. Elles sont supprimées immédiatement après la confirmation de la personne. »
Song a nié tout lien avec Palantir, ICE ou le gouvernement, mais a déclaré que la société était agréée par FedRAMP. « Nous essayons d’obtenir FedRAMP, et l’objectif est de faire beaucoup de travail pour la sécurité de nos employés. » FedRAMP utilise un ensemble d’informations complètement différent pour vérifier que les employés sont bien ceux qu’ils prétendent être que les utilisateurs des plateformes de médias sociaux qui vérifient leur âge.
Selon Song, pour les 269 contrôles de validation différents, ce sont toutes des options fournies par les personas, mais les clients n’en ont pas nécessairement besoin de toutes. Essentiellement, le besoin d’une plateforme de médias sociaux en matière de vérification de l’âge n’est pas le même que le besoin d’un employeur de procéder à une vérification des antécédents.
Au cours du week-end, Song a nié que Persona, qui propose également des solutions de connaissance du client (KYC) et de lutte contre le blanchiment d’argent (AML), relie la biométrie faciale aux dossiers financiers et aux bases de données des forces de l’ordre. Song a publié une capture d’écran d’un échange de courrier électronique avec la chercheuse « Celeste » sur X, affirmant que la chercheuse suggérait une sorte de lien entre Persona, Palantir et ICE, conduisant à des menaces contre des membres de l’entreprise.
Une capture d’écran de l’échange de courrier électronique de Song indique : « Palantir, nous n’avons aucune relation avec ICE ». Le PDG a ajouté que parmi les membres victimes de réactions négatives figurent de nouveaux diplômés et des signataires récents. « Je ne pense pas que ce soient ces personnes contre lesquelles la colère du public devrait être dirigée. Si c’est le cas, elle devrait être dirigée contre moi. »
M. Song a également été attaqué pour n’avoir fourni aucune information d’identification personnelle en ligne. Un utilisateur de X a publié une capture d’écran du profil LinkedIn du PDG montrant Song avec un badge de vérification mais manquant une photo de profil. Les personas traitent les demandes de vérification d’identité LinkedIn.
En réponse, Song a écrit : « Je suis authentifié. C’est là le problème. C’est dystopique que les gens veuillent se faire face à tout le monde afin d’être réels en ligne. Il est ironique que les gens qui publient sur la vie privée veuillent que je fasse face à tout le monde. »
