Discord rompt les liens avec le logiciel de vérification soutenu par Peter Thiel :des chercheurs découvrent une machine de surveillance biométrique à 269 contrôles intégrés dans Persona sur un serveur gouvernemental US
Ce qui devait être un simple outil de protection des mineurs en ligne s'est révélé être bien autre chose : un système de surveillance biométrique à 269 contrôles distincts, dont les données résidaient librement sur un serveur gouvernemental américain. Discord a rompu son partenariat avec Persona Identities après que des chercheurs en sécurité ont mis au jour l'architecture réelle de cet outil financé par le fonds de capital-risque de Peter Thiel. L'affaire soulève des questions fondamentales sur la nature des systèmes de vérification d'identité déployés massivement auprès du grand public.
Début février 2026, Discord annonçait en grande pompe le déploiement mondial de paramètres de sécurité « pensés pour les adolescents ». La plateforme, populaire auprès des gamers, des étudiants, des développeurs et des communautés tech, indiquait que tout utilisateur souhaitant accéder à des serveurs non restreints devrait désormais vérifier son âge. Pour ce faire, elle avait sélectionné Persona Identities, une startup californienne spécialisée dans la vérification d'identité et la conformité réglementaire. Le partenariat a duré moins d'un mois.
Le 24 février 2026, Discord confirmait qu'il ne poursuivrait pas sa collaboration avec Persona. Non pas en raison d'une défaillance technique du produit, mais parce que des chercheurs en sécurité avaient rendu publique une découverte embarrassante : l'intégralité du code frontend de la version gouvernementale de Persona était librement accessible sur internet, hébergée sur un endpoint autorisé par le programme FedRAMP — le cadre fédéral américain de gestion des risques liés au cloud.
53 mégaoctets en accès libre, sans la moindre exploitation
Le 16 février 2026, des chercheurs regroupés sous le pseudonyme collectif "vmfunc" publient un rapport qui fait l'effet d'une bombe dans les cercles de la cybersécurité. Leur conclusion est cinglante : ils ont trouvé 2 456 fichiers sources TypeScript, représentant 53 mégaoctets de données, sur un endpoint gouvernemental accessible sans authentification, via un simple chemin /vite-dev/ — une configuration de développement manifestement laissée active en production.
« Nous n'avons même pas eu besoin d'écrire ou d'exécuter le moindre exploit. L'architecture entière était sur le pas de la porte », ont-ils écrit dans leur rapport. Ce qui les a frappés, ce n'est pas tant la négligence technique — bien que celle-ci soit flagrante pour une plateforme ayant obtenu sa certification FedRAMP en octobre 2025 — mais ce que le code révèle sur le fonctionnement réel de Persona.
L'analyse du code exposé fait apparaître une réalité bien éloignée du simple outil de contrôle d'âge présenté aux utilisateurs de Discord. Le système effectue 269 vérifications distinctes sur chaque individu soumis à un contrôle. Parmi celles-ci : la comparaison du visage avec des listes de surveillance, le criblage dans 14 catégories de « médias adverses » allant du terrorisme à l'espionnage, la génération de scores de risque et de similarité, le suivi en temps réel de chaque clic et chargement de page sur la plateforme gouvernementale, et la capacité à déposer directement des Suspicious Activity Reports (SAR) auprès du FinCEN — l'unité de renseignement financier du Trésor américain.
Plus troublant encore : les chercheurs ont identifié un domaine nommé openai-watchlistdb.withpersona.com, suggérant qu'OpenAI aurait pu créer une base de données interne d'identités vérifiées par Persona couvrant l'ensemble de ses utilisateurs. Les chercheurs ont également relevé que les données biométriques — empreintes faciales, photos de pièces d'identité, numéros de documents, adresses IP, empreintes de navigateur et d'appareil, et même les arrière-plans des selfies — pouvaient être conservées jusqu'à trois ans, en contradiction avec la politique officielle d'un an affichée par OpenAI.
Une architecture gouvernementale qui interpelle
Le cœur du problème réside dans la coexistence de deux implémentations de Persona : une version commerciale utilisée par Discord, Roblox, LinkedIn, ChatGPT ou encore Lime, et une version gouvernementale accessible via withpersona-gov.com, baptisée "ONYX". Les chercheurs ont établi que les deux versions partagent la même base de code, ce que confirment des commits identiques.
Cette architecture "dual-use" — civile et gouvernementale — soulève une question centrale : dans quelle mesure les données collectées lors d'une vérification d'âge sur une plateforme grand public peuvent-elles alimenter des bases de données gouvernementales ? La plateforme gouvernementale était manifestement conçue pour un usage isolé (« compartimenté », selon les termes des chercheurs), hébergée sur une infrastructure dédiée et non sur les systèmes partagés de Cloudflare ou de Persona. Ce niveau de cloisonnement, notent les chercheurs, « se justifie lorsque les données collectées exigent ce type d'isolation », ce qui laisse entendre que les enjeux dépassent largement la vérification d'âge.
Peter Thiel en filigrane, les dénégations du CEO
Persona n'est pas un acteur inconnu dans le paysage de la tech idéologique américaine. La startup est partiellement financée par Founders Fund, le véhicule de capital-risque cofondé par Peter Thiel — lui-même cofondateur de Palantir, la société de data analytics qui fournit depuis des années des outils de surveillance et de traitement de données massives aux agences gouvernementales américaines, dont l'ICE (Immigration and Customs Enforcement).
Rick Song, CEO et cofondateur de Persona, a réfuté catégoriquement tout lien avec Palantir, l'ICE ou des bases de données gouvernementales. « Nous n'avons absolument aucune relation avec l'ICE ou Palantir », a-t-il déclaré par voie de communiqué. Il a également tenu à minimiser la portée de la découverte des chercheurs, qualifiant les fichiers exposés de « simple frontend accessible publiquement » — l'équivalent d'une version décompressée d'une source map que n'importe quel développeur pourrait consulter.
« Je ne pense pas que des fichiers décompressés en ligne soient une bonne chose », a-t-il concédé, « mais en interne, nous n'avons pas considéré cela comme une vulnérabilité majeure. » Song a également accepté de répondre par écrit à dix-huit questions de la chercheuse "Celeste", l'une des auteurs du rapport, incluant notamment l'écart entre la rétention des données biométriques d'un an affichée par OpenAI et le plafond de trois ans découvert dans le code.
L'un des moments les plus piquants de l'affaire est survenu lorsqu'un utilisateur de X (ex-Twitter) a remarqué que le profil LinkedIn du CEO était certifié… mais dépourvu de photo — alors que Persona gère justement la vérification d'identité de LinkedIn. Song a répondu avec un certain sens de l'ironie : « Je suis vérifié. C'est précisément le plus important. Il est dystopique d'exiger que les gens se 'facedox' pour exister en ligne. »
Discord pris entre deux feux
Pour Discord, cette affaire intervient dans un contexte déjà difficile. En octobre 2025, la plateforme avait subi une attaque impliquant son prestataire de support client tiers, 5CA, lors de laquelle les pièces d'identité gouvernementales d'environ 70 000 utilisateurs avaient été compromises. La plateforme avait alors reçu le peu enviable « Breachies Award 2025 » de la Electronic Frontier Foundation (EFF), récompensant ironiquement les acteurs les plus négligents en matière de sécurité.
L'EFF avait d'ailleurs pris position dès janvier 2026 contre le déploiement par Discord de la vérification d'âge obligatoire, rappelant que « les mandats de vérification d'âge constituent un cauchemar en matière de censure et de surveillance ». L'organisation avait souligné que l'histoire démontre que ce type de données — particulièrement précieuses — finissent invariablement par fuiter, « que ce soit via des piratages, des erreurs de configuration ou des erreurs de conservation ».
Discord a tenté de rassurer ses utilisateurs en affirmant que seule une « petite partie » d'entre eux avait participé à l'expérimentation britannique avec Persona, et que toute information soumise aurait été supprimée après sept jours au maximum. La plateforme a également précisé que les scans faciaux « ne quittent jamais l'appareil de l'utilisateur » et que son système d'inférence d'âge lui permettrait de déterminer l'âge de la plupart des utilisateurs sans nécessiter de téléchargement de pièces d'identité.
Mais une version archivée de la FAQ de Discord sur la vérification d'âge, depuis supprimée, contredisait ces affirmations en mentionnant explicitement que les informations soumises pourraient être « temporairement stockées jusqu'à sept jours » par Persona. Cette contradiction entre les déclarations publiques et la documentation interne constitue l'un des points les plus sensibles de l'affaire.
Un secteur entier sous surveillance
L'affaire Persona-Discord dépasse le cadre d'un simple incident de configuration mal sécurisée. Elle révèle une réalité structurelle : les outils de vérification d'identité déployés à grande échelle pour « protéger les mineurs » constituent, de facto, une infrastructure de surveillance biométrique dont les utilisateurs n'ont pas connaissance.
Roblox, OpenAI (pour ChatGPT), Reddit, LinkedIn et Character.AI continuent d'utiliser les services de Persona. Des millions d'utilisateurs — souvent des adolescents ou de jeunes adultes — ont soumis selfies et pièces d'identité à un système effectuant 269 vérifications distinctes, dont certaines relèvent de catégories sensibles comme le terrorisme, l'espionnage ou les « personnes politiquement exposées ».
La question de l'adéquation entre le prétexte affiché (la protection des mineurs) et la réalité technique déployée est au cœur du débat. Comme le note l'EFF, « on a appris aux jeunes depuis des décennies une règle simple : ne pas partager ses informations personnelles avec des inconnus en ligne. La vérification d'âge complique radicalement ce conseil. »
Les législateurs qui ont imposé ces vérifications — notamment au Royaume-Uni et dans plusieurs États américains — devront se demander si les standards de transparence et de minimisation des données ont été respectés par les acteurs qu'ils ont indirectement mandatés. La certification FedRAMP obtenue par Persona en octobre 2025 n'a visiblement pas suffi à garantir une configuration sécurisée — une ironie mordante pour un système conçu à l'usage des agences fédérales américaines.
Sources : OpenAI, vmfunc, chercheuse Celeste, Persona, Lime, vidéo dans le texte
Et vous ?
Trouvez-vous les découvertes des chercheurs surprenantes ? Dans quelle mesure ?
La vérification d'âge est-elle soluble dans la vie privée ? Peut-on concevoir un système de contrôle d'âge robuste qui ne génère pas, par nature, une infrastructure de surveillance biométrique ? Ou l'EFF a-t-elle raison de considérer ces deux objectifs comme structurellement incompatibles ?
Quelle est la responsabilité des plateformes dans la vérification de leurs sous-traitants ? Discord ou Roblox pouvaient-ils raisonnablement ignorer l'étendue des vérifications effectuées par Persona sur leurs utilisateurs, ou cette méconnaissance relève-t-elle d'une négligence coupable ?
Le financement "Thiel" doit-il être un critère d'exclusion pour les outils de vérification d'identité grand public ? La présence de Founders Fund au capital de Persona constitue-t-elle un signal d'alarme suffisant pour les plateformes et les régulateurs, compte tenu de l'écosystème idéologique et des liens avec Palantir ?
Les source maps exposées sont-elles vraiment « sans danger » comme le prétend le CEO ? Pour un professionnel de la sécurité, quelle est la valeur réelle d'un code source complet exposant l'ensemble des endpoints API, des algorithmes de criblage et des règles de conformité d'une plateforme gouvernementale ?
Qui contrôle les données biométriques collectées au nom de la « protection des enfants » ? Entre la rétention officielle d'un an affichée par OpenAI et le plafond de trois ans découvert dans le code, qui dit la vérité — et qui est en mesure de le vérifier indépendamment ?
Vous avez lu gratuitement 187 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.