Ce qui devait être un simple outil de protection des mineurs en ligne s'est révélé être bien autre chose : un système de surveillance biométrique à 269 contrôles distincts, dont les données résidaient librement sur un serveur gouvernemental américain. Discord a rompu son partenariat avec Persona Identities après que des chercheurs en sécurité ont mis au jour l'architecture réelle de cet outil financé par le fonds de capital-risque de Peter Thiel. L'affaire soulève des questions fondamentales sur la nature des systèmes de vérification d'identité déployés massivement auprès du grand public.Début février 2026, Discord annonçait en grande pompe le déploiement mondial de paramètres de sécurité « pensés pour les adolescents ». La plateforme, populaire auprès des gamers, des étudiants, des développeurs et des communautés tech, indiquait que tout utilisateur souhaitant accéder à des serveurs non restreints devrait désormais vérifier son âge. Pour ce faire, elle avait sélectionné Persona Identities, une startup californienne spécialisée dans la vérification d'identité et la conformité réglementaire. Le partenariat a duré moins d'un mois.
Le 24 février 2026, Discord confirmait qu'il ne poursuivrait pas sa collaboration avec Persona. Non pas en raison d'une défaillance technique du produit, mais parce que des chercheurs en sécurité avaient rendu publique une découverte embarrassante : l'intégralité du code frontend de la version gouvernementale de Persona était librement accessible sur internet, hébergée sur un endpoint autorisé par le programme FedRAMP — le cadre fédéral américain de gestion des risques liés au cloud.
53 mégaoctets en accès libre, sans la moindre exploitation
Le 16 février 2026, des chercheurs regroupés sous le pseudonyme collectif "vmfunc" publient un rapport qui fait l'effet d'une bombe dans les cercles de la cybersécurité. Leur conclusion est cinglante : ils ont trouvé 2 456 fichiers sources TypeScript, représentant 53 mégaoctets de données, sur un endpoint gouvernemental accessible sans authentification, via un simple chemin /vite-dev/ — une configuration de développement manifestement laissée active en production.
« Nous n'avons même pas eu besoin d'écrire ou d'exécuter le moindre exploit. L'architecture entière était sur le pas de la porte », ont-ils écrit dans leur rapport. Ce qui les a frappés, ce n'est pas tant la négligence technique — bien que celle-ci soit flagrante pour une plateforme ayant obtenu sa certification FedRAMP en octobre 2025 — mais ce que le code révèle sur le fonctionnement réel de Persona.
L'analyse du code exposé fait apparaître une réalité bien éloignée du simple outil de contrôle d'âge présenté aux utilisateurs de Discord. Le système effectue 269 vérifications distinctes sur chaque individu soumis à un contrôle. Parmi celles-ci : la comparaison du visage avec des listes de surveillance, le criblage dans 14 catégories de « médias adverses » allant du terrorisme à l'espionnage, la génération de scores de risque et de similarité, le suivi en temps réel de chaque clic et chargement de page sur la plateforme gouvernementale, et la capacité à déposer directement des Suspicious Activity Reports (SAR) auprès du FinCEN — l'unité de renseignement financier du Trésor américain.
Plus troublant encore : les chercheurs ont identifié un domaine nommé openai-watchlistdb.withpersona.com, suggérant qu'OpenAI aurait pu créer une base de données interne d'identités vérifiées par Persona couvrant l'ensemble de ses utilisateurs. Les chercheurs ont également relevé que les données biométriques — empreintes faciales, photos de pièces d'identité, numéros de documents, adresses IP, empreintes de navigateur et d'appareil, et même les arrière-plans des selfies — pouvaient être conservées jusqu'à trois ans, en contradiction avec la politique officielle d'un an affichée par OpenAI.
Une architecture gouvernementale qui interpelle
Le cœur du problème réside dans la coexistence de deux implémentations de Persona : une version commerciale utilisée par Discord, Roblox, LinkedIn, ChatGPT ou encore Lime, et une version gouvernementale accessible via withpersona-gov.com, baptisée "ONYX". Les chercheurs ont établi que les deux versions partagent la même base de code, ce que confirment des commits identiques.
Cette architecture "dual-use" — civile et gouvernementale — soulève une question centrale : dans quelle mesure les données collectées lors d'une vérification d'âge sur une plateforme grand public peuvent-elles alimenter des bases de données gouvernementales ? La plateforme gouvernementale était manifestement conçue pour un usage isolé (« compartimenté », selon les termes des chercheurs), hébergée sur une infrastructure dédiée et non sur les systèmes partagés de Cloudflare ou de Persona. Ce niveau de cloisonnement, notent les chercheurs, « se justifie lorsque les données collectées exigent ce type d'isolation », ce qui...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
