La plateforme de communication Discord est sous le feu des critiques après que son logiciel de vérification d’identité, Persona Identities, ait découvert un code d’interface accessible sur l’Internet ouvert et sur les serveurs gouvernementaux.
Près de 2 500 fichiers ont été trouvés accessibles sur un point final approuvé par le gouvernement américain, ont noté les chercheurs de
En plus de vérifier l’âge d’un utilisateur, les chercheurs ont découvert que Persona effectuait 269 contrôles de vérification différents, notamment la détection des « médias indésirables » dans 14 catégories différentes, telles que le terrorisme et l’espionnage. Il attribue ensuite des scores de risque et de similarité aux informations de l’utilisateur.
Et l’information était ouvertement disponible. “Nous n’avons même pas eu besoin d’écrire ou d’exécuter un seul exploit, toute l’architecture était à portée de main”, ont écrit les chercheurs sur leur blog, ajoutant qu’ils avaient trouvé 53 mégaoctets de données sur un terminal gouvernemental du Programme fédéral de gestion des risques et des autorisations (FedRAMP) qui “étiquetait également les rapports avec les noms de code des programmes de renseignement actifs”.
Discord a depuis annoncé qu’il romprait ses liens avec Persona. Le logiciel d’intelligence artificielle, partiellement financé par la société de capital-risque Founders Fund du co-fondateur de Palantir, Peter Thiel, continue de fournir des services de vérification de l’âge pour OpenAI, Lime et Roblox.
Persona et Discord ont confirmé à Fortune que leur partenariat avait duré moins d’un mois et s’était depuis dissous. Selon Discord, seul un petit nombre d’utilisateurs ont participé à ce test, dans lequel toute information soumise pouvait être stockée jusqu’à sept jours avant d’être supprimée.
Bogues du correctif de sécurité Discord
Ce n’est pas la première fois qu’un fournisseur tiers est sous surveillance pour mauvaise gestion des informations utilisateur sensibles pour Discord, qui est populaire parmi les joueurs, les étudiants, les influenceurs, les professionnels de la technologie et d’autres communautés.
L’année dernière, des pirates ont accédé aux cartes d’identité gouvernementales de plus de 70 000 personnes qui satisfaisaient aux exigences de vérification de l’âge.
Dans un communiqué du 9 octobre 2025, la société a déclaré que l’attaque “n’était pas une violation de Discord, mais plutôt une violation d’un fournisseur de services tiers, 5CA”. Discord a déclaré que la violation affectait uniquement les utilisateurs qui avaient contacté le support client ou les équipes de confiance et de sécurité de l’entreprise.
Et plus tôt ce mois-ci, Discord a fait face à une réaction presque immédiate après avoir annoncé que tous les comptes seraient par défaut configurés sur les paramètres de sécurité pour adolescents. Les utilisateurs souhaitant accéder à des fonctionnalités supplémentaires devront vérifier leur âge à l’aide de Persona.
“La mise en œuvre des paramètres par défaut pour les adolescents à l’échelle mondiale s’appuie sur l’architecture de sécurité existante de Discord”, a déclaré Savannah Badalich, responsable de la politique produit de Discord, dans le communiqué. La société “continuera à travailler avec des experts en sécurité, des décideurs politiques et des utilisateurs de Discord pour favoriser un bien-être significatif à long terme”.
Mais après que les utilisateurs ont rapidement signalé le piratage des données d’octobre, Discord a modifié la déclaration le lendemain pour préciser que la vérification de l’âge resterait facultative à moins que les utilisateurs ne souhaitent accéder aux serveurs et aux canaux soumis à une limite d’âge.
Discord a déclaré qu’il pourrait déterminer l’âge de la plupart des utilisateurs en utilisant les “informations dont nous disposons déjà”. La plupart des utilisateurs n’auraient pas besoin de présenter une pièce d’identité gouvernementale et pourraient plutôt opter pour des selfies vidéo.
“Nous proposons plusieurs options de confidentialité par l’intermédiaire de partenaires de confiance”, indique l’addendum, ajoutant que “les analyses faciales ne quittent jamais votre appareil. Discord et nos partenaires fournisseurs ne les reçoivent jamais”.
Tous les documents d’identification téléchargés sur Discord seraient envoyés aux fournisseurs tiers de la plateforme et rapidement supprimés. “Dans la plupart des cas, immédiatement après la confirmation de l’âge”, indique le communiqué.
“Les pièces d’identité sont utilisées uniquement pour obtenir votre âge, puis elles sont supprimées”, a-t-il poursuivi. “Discord ne reçoit que votre âge, c’est tout. Votre identité n’est jamais associée à votre compte.”
Cependant, une version supprimée depuis de la FAQ de Discord sur les politiques de vérification de l’âge semble contredire les affirmations de l’entreprise sur la durée pendant laquelle le fournisseur tiers, dans ce cas Persona, stocke les pièces d’identité gouvernementales.
“Important : si vous êtes au Royaume-Uni, vous pourriez participer à une expérience dans laquelle vos informations seront traitées par un fournisseur de vérification de l’âge, Persona”, lit-on dans une version archivée du site. “Les informations que vous soumettez seront temporairement stockées pendant 7 jours maximum, puis supprimées. Pour la vérification de votre identité, tous les détails sont flous, à l’exception de votre photo et de votre date de naissance, donc seul ce qui est réellement nécessaire pour vérifier votre âge est utilisé.”
La personne devient personnelle
Le PDG et co-fondateur de Persona, Rick Song, a déclaré à Fortune que les fichiers ne constituaient pas une vulnérabilité, mais plutôt des informations frontales accessibles au public. “Ce qui a été trouvé, ce sont des fichiers non compressés d’une interface qui se trouve déjà sur l’appareil de chaque personne”, a-t-il déclaré, ajoutant que les informations sont disponibles dans le centre d’aide de l’entreprise et dans la documentation de l’API. “Je ne pense pas qu’avoir des fichiers non compressés en ligne soit une bonne chose”, a poursuivi Song, mais a ajouté que les informations trouvées par le chercheur sont la version non compressée de la carte source compressée en ligne d’une entreprise.
“Je pense que c’est l’un de ceux dont le contenu semble le plus effrayant, mais… en interne, nous ne considérons même pas cela comme une vulnérabilité majeure.”
Song considère toujours le partenariat entre Persona et Discord comme un succès. “Je pense que les performances du produit étaient incroyablement bonnes”, a déclaré le PDG à Fortune. “La raison pour laquelle nous avons pu dire que toutes les données ont été supprimées immédiatement est parce que les données ont été supprimées ; elles avaient déjà été supprimées lors du traitement. Ce n’est pas que nous avons supprimé les données en raison de la résiliation du contrat. Elles sont supprimées immédiatement après une vérification de l’individu.”
Song a nié tout lien avec Palantir, ICE ou le gouvernement, mais a déclaré que la société était en cours d’autorisation FedRAMP. “Nous essayons d’obtenir FedRAMP et l’objectif est de faire beaucoup de travail pour la sécurité du personnel”, qui utilise un ensemble d’informations complètement différent pour confirmer qu’un employé est bien celui qu’il prétend être, par rapport à un utilisateur d’une plateforme de médias sociaux vérifiant son âge.
En réponse aux 269 types de contrôles de vérification, ce sont toutes des options proposées par Persona, a déclaré Song, mais cela ne signifie pas nécessairement qu’un client a besoin de toutes. Essentiellement, les besoins d’une plateforme de médias sociaux pour vérifier l’âge ne seraient pas les mêmes que ceux d’un employeur procédant à une vérification des antécédents.
Song a également été attaqué pour son manque d’informations personnelles identifiables en ligne. Un utilisateur de X a publié une capture d’écran du profil LinkedIn du PDG montrant Song avec un badge vérifié mais pas de photo de profil. Persona gère les demandes de vérification d’identité LinkedIn.
En réponse, Song a écrit : “Je suis vérifié. C’est le problème. C’est dystopique que nous voulions que les gens tiennent tête à tout le monde pour être réels en ligne. Il est ironique que les gens qui publient sur la vie privée veuillent que je tienne tête à tout le monde.”
