Discord met fin à son contrat avec le logiciel de vérification d’identité « Persona »

 (fortune.com)
2 points par GN⁺ 2026-02-25 | 1 commentaires | Partager sur WhatsApp
  • Discord a mis fin à sa collaboration après que du code de Persona a été découvert dans un système de surveillance du gouvernement américain
  • Persona est utilisé sur X, OpenAI, LinkedIn, Figma, Reddit et d’autres services pour la vérification d’identité et d’âge
  • Le code découvert comprenait des fonctions de reconnaissance faciale, de surveillance de personnalités politiques et de vérification liée au terrorisme
  • En plus de la vérification de l’âge des utilisateurs, Persona exécutait 269 procédures de vérification et attribuait des scores de risque et de similarité
  • Discord explique que cette collaboration était un test de moins d’un mois et que les informations soumises étaient conservées au maximum sept jours avant suppression

Fin de la collaboration entre Discord et Persona

  • Discord a mis fin à sa relation avec Persona Identities après que du code de l’entreprise a été trouvé sur l’internet public et sur des serveurs du gouvernement américain
    • Des chercheurs ont indiqué qu’environ 2 500 fichiers étaient accessibles via des endpoints approuvés par le gouvernement américain
    • Ce code incluait des fonctions de croisement avec des listes de personnes surveillées, de vérification des personnes politiquement exposées, et de screening média lié au terrorisme et à l’espionnage
  • Au-delà de la vérification de l’âge, Persona exécutait 269 procédures de vérification distinctes et examinait 14 catégories d’éléments de « médias négatifs »
    • Une structure qui attribuait à chaque information utilisateur des scores de risque et de similarité
  • Les chercheurs ont déclaré qu’ils n’avaient « pas eu besoin d’écrire une seule ligne de code d’exploit », ajoutant que 53 Mo de données avaient été trouvés sur un endpoint gouvernemental FedRAMP
    • Ces données contenaient des tags de noms de code de programmes de renseignement en cours

Réponse de Discord et politique de confidentialité

  • Discord a confirmé que la collaboration avec Persona était un partenariat expérimental de moins d’un mois
    • Seule une partie des utilisateurs y a participé, et les informations soumises sont conservées jusqu’à 7 jours avant suppression
  • Discord avait déjà été critiqué auparavant pour des problèmes de sécurité liés à des services tiers
    • En 2025, le piratage du service 5CA a entraîné la fuite des pièces d’identité gouvernementales de plus de 70 000 utilisateurs
    • Les informations divulguées comprenaient des adresses IP, ainsi que certaines données de paiement et d’entreprise
  • Récemment, Discord a appliqué les « paramètres adolescents par défaut (teen-by-default) » à l’ensemble des comptes mondiaux, avant de modifier sa position sous la pression des utilisateurs pour rendre la vérification de l’âge facultative
    • La plupart des utilisateurs peuvent se faire vérifier via un selfie vidéo plutôt qu’une pièce d’identité officielle
    • Discord précise que « les scans du visage sont traités uniquement sur l’appareil et ne sont pas transmis au serveur »

Position et explications de Persona

  • Le CEO de Persona, Rick Song, affirme que les fichiers découverts ne relèvent pas d’une faille de sécurité, mais d’informations frontend publiques
    • Selon lui, « il s’agit seulement de fichiers source map non compressés rendus publics », c’est-à-dire de code déjà présent sur les appareils de tous les utilisateurs
    • Il reconnaît toutefois qu’« il n’est pas souhaitable que des fichiers non compressés soient en ligne »
  • Song a nié tout lien entre Persona et Palantir, l’ICE ou des agences gouvernementales, et a indiqué que l’entreprise était actuellement engagée dans une procédure de certification FedRAMP
    • L’objectif de cette certification est de fournir des services de sécurité pour la vérification de l’identité des employés
  • Les 269 éléments de vérification de Persona sont des options sélectionnées par les clients, et ne sont pas tous utilisés systématiquement
    • Il explique que la vérification d’âge sur les réseaux sociaux et les enquêtes de background en entreprise répondent à des objectifs différents
  • Song souligne que Persona propose des solutions KYC (Know Your Customer) et AML (lutte contre le blanchiment d’argent), mais ne relie pas les données biométriques faciales aux dossiers financiers ni aux bases de données des forces de l’ordre

Polémique et attaques personnelles en ligne contre le CEO

  • Après que la chercheuse « Celeste » a laissé entendre un lien entre Persona, Palantir et l’ICE, Song a révélé avoir reçu des menaces et des critiques
    • Il a contesté ces accusations via une capture d’écran d’email, affirmant que « notre entreprise n’a absolument aucun lien avec l’ICE ou Palantir »
    • Il a ajouté qu’une partie des critiques vise désormais de nouveaux employés, tout en affirmant que la responsabilité lui revient
  • Des attaques personnelles liées à l’absence de photo sur son profil LinkedIn ont également suivi
    • En réponse, Song a rétorqué que « la vérification du nom réel ne signifie pas dévoiler son visage » et qu’il est important de préserver sa vie privée

La controverse sur la fiabilité de Discord en matière de sécurité se poursuit

  • La rupture du contrat avec Persona a ravivé la méfiance envers les dispositifs de sécurité et de protection des données personnelles de Discord
    • Après une série de problèmes impliquant des services tiers, la transparence de la gestion des données utilisateurs est devenue un enjeu central
  • Discord a de nouveau insisté sur le fait qu’il « collecte uniquement l’âge des utilisateurs, et que l’identité n’est pas liée au compte »
    • Cependant, les différences avec les explications antérieures de la FAQ sur la durée de conservation entretiennent une controverse sur la cohérence de la politique

À lire aussi

1 commentaires

 
GN⁺ 2026-02-25
Réactions sur Hacker News

  • Il y a une analyse basée sur le code frontend de Persona ici
    Je recommande vivement de lire la source originale avant d’en tirer des conclusions. Les articles de seconde main sont souvent de mauvaise qualité.

    • La réponse officielle de l’équipe sécurité de Persona est ici, et la discussion de Rick sur Twitter est visible ici
    • Cet article a été soumis il y a 6 jours mais a été signalé. Il mérite d’être réexaminé.
    • J’ai lu l’article et, comme je travaille depuis longtemps dans la fintech, je ne partage pas la plupart des inquiétudes
      En revanche, le fait que les durées de conservation des données soient indiquées différemment m’inquiète un peu. Pour le reste, c’est courant dans le secteur KYC/AML.
    • Un article de suivi est disponible ici
    • L’article était bon, mais le site est tellement chargé qu’il m’a fait mal aux yeux et aux oreilles. J’aimerais qu’ils améliorent un peu la lisibilité.

  • Je ne suis toujours pas convaincu
    Une certaine personne a acheté une influence massive via des lobbyistes, et le résultat est que les ultra-riches dégradent l’ensemble de la société
    Je ne pense pas non plus que la réaction de Discord soit sincère. Ils font seulement semblant de réparer les choses parce qu’ils ont été surpris par la réaction des utilisateurs, alors que l’objectif était dès le départ la surveillance.

    • Le fait d’éviter volontairement de citer le nom de la personne paraît plutôt puéril et brouille le débat.
    • C’est au point qu’on en arrive à des réactions du genre : « C’est quoi, Voldemort ? »
    • Le vrai problème de Discord, c’est son IPO à venir. Pour prouver sa valeur aux investisseurs, il faudra forcément monétiser les données et les messages des utilisateurs.
    • Avant, on s’inquiétait de la surveillance des gouvernements ; maintenant, ce sont les grandes entreprises tech qui ont pris leur place.

  • Le jour où l’on rompra avec des figures comme Peter Thiel de Palantir sera un bon jour pour toute la société

    • À mon avis, ce type d’organisation devrait carrément être classé parmi les organisations interdites.

  • Article lié : Les informations transmises pour la vérification d’identité sur LinkedIn

  • L’atteinte à la confiance est déjà irréversible
    Les communautés Discord dont je fais partie existent encore, mais après cette affaire, je n’ai plus l’intention d’en rejoindre de nouvelles.

    • Je me demande comment Discord a pu devenir aussi gros. Le problème a commencé quand les gens y sont allés en le présentant comme une alternative à Slack
      Comme Slack, il a des problèmes de monopole sur les données et de fermeture, et les gens se sont encore fait avoir.
    • Si au moins cette affaire reste comme un cas d’école montrant qu’il faut se méfier d’entreprises comme Persona, ce sera déjà une bonne chose.
    • J’ai sauvegardé le serveur que j’administre, et si on me demande une vérification d’âge, je supprimerai tout immédiatement.
    • En réalité, Discord perd la confiance des gens depuis déjà des années. Baisse de qualité du client, arrivée de la publicité : c’est un cas typique d’enshittification
      Cette polémique sur la vérification n’est qu’une étape de plus dans ce déclin.
    • Discord est un cancer de l’internet ouvert
      Le chat en temps réel est utile, mais le déplacement des communautés et des wikis vers des plateformes fermées a été une catastrophe
      Au lieu de chercher des alternatives similaires, il faut revenir aux forums ouverts et aux wikis.

  • Je ne comprends pas bien si Discord a abandonné l’exigence de vérification faciale, ou s’il a seulement cessé d’utiliser Persona

    • La vérification reste bien sous-traitée à un prestataire externe. Ils ont simplement remplacé Persona par une autre entreprise
      À noter que la vérification n’est nécessaire que pour certaines fonctions, comme rejoindre des serveurs pour adultes ou désactiver les filtres de contenu.
    • À l’origine, Discord voulait utiliser k-ID, qui traite les données sur l’appareil
      Mais en parallèle, l’entreprise testait aussi Persona, et Persona a perdu toute crédibilité parce qu’elle stockait les données
      En plus, Persona et 5CA ont tous deux subi des incidents de sécurité. C’est sans doute pour cela que le basculement a été annulé.
    • Discord n’a pas retiré son projet ; ils ont seulement dit qu’ils n’utiliseraient pas Persona dans certaines régions
      D’après le résumé et message d’excuses du blog officiel
      le déploiement mondial est retardé, et des fonctions destinées à réduire le besoin de vérification (par exemple des salons spoiler) vont être ajoutées.

  • Persona a publié son rapport post-mortem sur l’incident
    Lien

    • Décrire une « exposition de source maps » comme « catastrophique (CATASTROPHIC) » est exagéré
      Le code frontend est de toute façon public, et en production, le simple fait de le minifier suffit.

  • Des chercheurs ont trouvé 2 500 fichiers sur un endpoint approuvé par le gouvernement, et il y avait des traces montrant que Persona effectuait de la reconnaissance faciale et des comparaisons avec des listes de surveillance de responsables politiques
    Le plus choquant, c’est que ces informations étaient accessibles publiquement sans aucun piratage
    Quand les entreprises disent que « la confidentialité des utilisateurs est leur priorité absolue », cela ressemble désormais à un slogan creux
    Il y a quelque chose d’ironique à voir un CEO dire que « montrer son visage en ligne est dystopique », tout en demandant aux utilisateurs de lui soumettre leur visage.

    • Cette dernière citation m’a vraiment fait rire. C’est difficile à croire quand on agit ainsi tous les jours.

  • Le nom Persona est en train de devenir une marque toxique

    • Au point qu’on ne sait même plus si cela vise Discord ou Thiel.

  • Discord disait « conservation pendant 7 jours », mais une fois que les données ont été transmises à Persona pendant cette période, ensuite plus personne ne sait ce qu’il en advient

    • Avant, c’était « suppression immédiate », maintenant c’est 7 jours ; je ne vois pas comment on peut restaurer une telle rupture de confiance.