Le piratage d'une société de vérification de l'âge montre les dangers des lois sur les médias sociaux pour la vie privée, selon l'EFF. Les sociétés chargées de traiter des documents sensibles comme les pièces d'identité sont susceptibles de subir des violations de donnéesSelon l'EFF, la vérification de l'âge en ligne est incompatible avec la protection de la vie privée. Les entreprises chargées de stocker ou de traiter des documents sensibles tels que les permis de conduire sont susceptibles de subir des violations de données, exposant potentiellement non seulement des données personnelles telles que la carte d'identité délivrée par le gouvernement, mais aussi des informations sur les sites qu'ils visitent.
Cette menace n'est pas hypothétique : une importante société de vérification d'identité, AU10TIX, a laissé ses identifiants de connexion exposés en ligne pendant plus d'un an, permettant l'accès à ces données utilisateur très sensibles.
Un chercheur a eu accès à la plateforme de journalisation de la société, "qui contenait à son tour des liens vers des données relatives à des personnes spécifiques qui avaient téléchargé leurs documents d'identité", y compris "le nom de la personne, sa date de naissance, sa nationalité, son numéro d'identification et le type de document téléchargé, comme un permis de conduire", ainsi que des images de ces documents d'identité. Les plateformes qui utiliseraient AU10TIX pour la vérification d'identité sont TikTok et X, anciennement Twitter.
Les législateurs qui proposent des lois dangereuses sur la vérification de l'âge devraient se pencher sur ce rapport. Des propositions telles que la loi fédérale sur la sécurité des enfants en ligne (Kids Online Safety Act) et le projet de loi 3080 de l'assemblée californienne (Assembly Bill 3080) sont en passe d'être adoptées, les législateurs de la Chambre des représentants devant voter cette semaine au sein d'une commission clé sur la loi KOSA, et la commission judiciaire du Sénat californien devant discuter de l'AB 3080 la semaine prochaine. Plusieurs autres lois exigeant la vérification de l'âge pour l'accès à des contenus "adultes" et à des contenus de médias sociaux ont déjà été adoptées dans des États à travers le pays. L'EFF et d'autres organisations contestent certaines de ces lois devant les tribunaux.
En fin de compte, les systèmes de vérification de l'âge sont des systèmes de surveillance. Le fait de les rendre obligatoires oblige les sites web à exiger des visiteurs qu'ils soumettent des informations telles qu'une pièce d'identité délivrée par le gouvernement à des sociétés telles qu'AU10TIX. Les piratages et les violations de données concernant ces informations sensibles ne sont pas une préoccupation hypothétique ; il s'agit simplement de savoir quand les données seront exposées, comme le montre cette violation.
Les violations de données peuvent entraîner de nombreux dangers pour les utilisateurs : hameçonnage, chantage ou vol d'identité, en plus de la perte de l'anonymat et de la vie privée. Le fait d'exiger des utilisateurs qu'ils téléchargent des documents gouvernementaux, qui font partie des données les plus sensibles, portera préjudice à tous les utilisateurs.
Selon le rapport, jusqu'à présent, l'exposition des données des utilisateurs dans l'affaire AU10TIX n'a pas conduit à une exposition au-delà de ce que le chercheur a montré comme étant possible. Si les exigences en matière de vérification de l'âge sont adoptées, les utilisateurs seront probablement contraints de partager leurs informations privées avec des réseaux d'entreprises tierces s'ils veulent continuer à accéder au contenu en ligne et à le partager. En l'espace d'un an, il ne serait pas étrange d'avoir téléchargé son identifiant sur une demi-douzaine de plateformes différentes.
L'EFF conclue :
Quelle que soit votre vigilance, vous ne pouvez pas contrôler ce que les autres entreprises font de vos données. Si les exigences en matière de vérification de l'âge deviennent une loi, vous devrez avoir de la chance chaque fois que vous serez obligé de partager vos informations privées. Les pirates n'auront de la chance qu'une seule fois.
Et vous ?
Pensez-vous que cet avis de l'EFF est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
AU10TIX, qui propose un service de vérification d'identité pour TikTok, Uber et X piraté. Des données personnelles exposées alors que les sites sociaux et pornos évoluent vers un modèle d'identité vérifiée Un système de vérification de l'âge en ligne pourrait être une source de données personnelles et d'habitudes de visionnage de pornographie, selon des groupes de défense de la vie privée L'EFF propose d'aborder les préjudices en ligne avec des politiques "Privacy-First", une loi sur la confidentialité des données, promouvant la vie privée, la liberté d'expression et la sécurité 
