Discord met fin à son contrat avec le logiciel de vérification d’identité « Persona »

• Discord a mis fin à sa collaboration après que du code de Persona a été découvert dans un système de surveillance du gouvernement américain
• Persona est utilisé sur X, OpenAI, LinkedIn, Figma, Reddit et d’autres services pour la vérification d’identité et d’âge
• Le code découvert comprenait des fonctions de reconnaissance faciale, de surveillance de personnalités politiques et de vérification liée au terrorisme
• En plus de la vérification de l’âge des utilisateurs, Persona exécutait 269 procédures de vérification et attribuait des scores de risque et de similarité
• Discord explique que cette collaboration était un test de moins d’un mois et que les informations soumises étaient conservées au maximum sept jours avant suppression

Fin de la collaboration entre Discord et Persona

• Discord a mis fin à sa relation avec Persona Identities après que du code de l’entreprise a été trouvé sur l’internet public et sur des serveurs du gouvernement américain
  • Des chercheurs ont indiqué qu’environ 2 500 fichiers étaient accessibles via des endpoints approuvés par le gouvernement américain
  • Ce code incluait des fonctions de croisement avec des listes de personnes surveillées, de vérification des personnes politiquement exposées, et de screening média lié au terrorisme et à l’espionnage
• Au-delà de la vérification de l’âge, Persona exécutait 269 procédures de vérification distinctes et examinait 14 catégories d’éléments de « médias négatifs »
  • Une structure qui attribuait à chaque information utilisateur des scores de risque et de similarité
• Les chercheurs ont déclaré qu’ils n’avaient « pas eu besoin d’écrire une seule ligne de code d’exploit », ajoutant que 53 Mo de données avaient été trouvés sur un endpoint gouvernemental FedRAMP
  • Ces données contenaient des tags de noms de code de programmes de renseignement en cours

Réponse de Discord et politique de confidentialité

• Discord a confirmé que la collaboration avec Persona était un partenariat expérimental de moins d’un mois
  • Seule une partie des utilisateurs y a participé, et les informations soumises sont conservées jusqu’à 7 jours avant suppression
• Discord avait déjà été critiqué auparavant pour des problèmes de sécurité liés à des services tiers
  • En 2025, le piratage du service 5CA a entraîné la fuite des pièces d’identité gouvernementales de plus de 70 000 utilisateurs
  • Les informations divulguées comprenaient des adresses IP, ainsi que certaines données de paiement et d’entreprise
• Récemment, Discord a appliqué les « paramètres adolescents par défaut (teen-by-default) » à l’ensemble des comptes mondiaux, avant de modifier sa position sous la pression des utilisateurs pour rendre la vérification de l’âge facultative
  • La plupart des utilisateurs peuvent se faire vérifier via un selfie vidéo plutôt qu’une pièce d’identité officielle
  • Discord précise que « les scans du visage sont traités uniquement sur l’appareil et ne sont pas transmis au serveur »

Position et explications de Persona

• Le CEO de Persona, Rick Song, affirme que les fichiers découverts ne relèvent pas d’une faille de sécurité, mais d’informations frontend publiques
  • Selon lui, « il s’agit seulement de fichiers source map non compressés rendus publics », c’est-à-dire de code déjà présent sur les appareils de tous les utilisateurs
  • Il reconnaît toutefois qu’« il n’est pas souhaitable que des fichiers non compressés soient en ligne »
• Song a nié tout lien entre Persona et Palantir, l’ICE ou des agences gouvernementales, et a indiqué que l’entreprise était actuellement engagée dans une procédure de certification FedRAMP
  • L’objectif de cette certification est de fournir des services de sécurité pour la vérification de l’identité des employés
• Les 269 éléments de vérification de Persona sont des options sélectionnées par les clients, et ne sont pas tous utilisés systématiquement
  • Il explique que la vérification d’âge sur les réseaux sociaux et les enquêtes de background en entreprise répondent à des objectifs différents
• Song souligne que Persona propose des solutions KYC (Know Your Customer) et AML (lutte contre le blanchiment d’argent), mais ne relie pas les données biométriques faciales aux dossiers financiers ni aux bases de données des forces de l’ordre

Polémique et attaques personnelles en ligne contre le CEO

• Après que la chercheuse « Celeste » a laissé entendre un lien entre Persona, Palantir et l’ICE, Song a révélé avoir reçu des menaces et des critiques
  • Il a contesté ces accusations via une capture d’écran d’email, affirmant que « notre entreprise n’a absolument aucun lien avec l’ICE ou Palantir »
  • Il a ajouté qu’une partie des critiques vise désormais de nouveaux employés, tout en affirmant que la responsabilité lui revient
• Des attaques personnelles liées à l’absence de photo sur son profil LinkedIn ont également suivi
  • En réponse, Song a rétorqué que « la vérification du nom réel ne signifie pas dévoiler son visage » et qu’il est important de préserver sa vie privée

La controverse sur la fiabilité de Discord en matière de sécurité se poursuit

• La rupture du contrat avec Persona a ravivé la méfiance envers les dispositifs de sécurité et de protection des données personnelles de Discord
  • Après une série de problèmes impliquant des services tiers, la transparence de la gestion des données utilisateurs est devenue un enjeu central
• Discord a de nouveau insisté sur le fait qu’il « collecte uniquement l’âge des utilisateurs, et que l’identité n’est pas liée au compte »
  • Cependant, les différences avec les explications antérieures de la FAQ sur la durée de conservation entretiennent une controverse sur la cohérence de la politique