Discord coupe les liens avec le logiciel de vérification soutenu par Peter Thiel après la découverte que son code était lié aux efforts de surveillance aux États-Unis

La plateforme de communication Discord est sous le feu après la découverte que son logiciel de vérification d’identité, Persona Identities, avait un code frontend accessible sur Internet et sur des serveurs gouvernementaux.

Vidéo recommandée

Près de 2 500 fichiers accessibles ont été trouvés sur un point de terminaison autorisé par le gouvernement américain, ont indiqué des chercheurs sur X. Les fichiers montraient que Persona effectuait des vérifications faciales contre des listes de surveillance et contrôlait les utilisateurs par rapport à des listes de personnes politiquement exposées.

En plus de vérifier l’âge d’un utilisateur, les chercheurs ont découvert que Persona réalise 269 vérifications distinctes, notamment le dépistage de « médias nuisibles » dans 14 catégories telles que le terrorisme et l’espionnage. Il attribue ensuite des scores de risque et de similarité aux informations des utilisateurs.

Et ces informations étaient accessibles publiquement. « Nous n’avons même pas eu besoin d’écrire ou d’exécuter une seule exploitation, toute l’architecture était juste à portée de main », ont écrit les chercheurs dans leur blog, ajoutant qu’ils avaient trouvé 53 mégaoctets de données sur un point de terminaison du programme fédéral de gestion des risques et de l’autorisation (FedRAMP) qui « étiquettent les rapports avec des noms de code issus de programmes de renseignement actifs ».

Discord a depuis annoncé qu’il coupait les liens avec Persona. Le logiciel d’IA, partiellement financé par la société de capital-risque Founders Fund, cofondée par Peter Thiel, continue de fournir des services de vérification d’âge pour OpenAI, Lime et Roblox.

Persona et Discord ont confirmé à Fortune que leur partenariat a duré moins d’un mois et a depuis été dissous. Selon Discord, seul un petit nombre d’utilisateurs ont participé à ce test, durant lequel toute information soumise pouvait être stockée jusqu’à sept jours avant d’être supprimée.

Les erreurs dans la refonte de la sécurité de Discord

Ce n’est pas la première fois qu’un fournisseur tiers est mis en cause pour la mauvaise gestion d’informations sensibles des utilisateurs de Discord, qui est populaire parmi les gamers, étudiants, influenceurs, professionnels de la tech et autres communautés.

L’année dernière, des hackers ont accédé aux identifiants gouvernementaux de plus de 70 000 personnes ayant respecté ses exigences de vérification d’âge.

Dans une déclaration du 9 octobre 2025, la société a indiqué que l’attaque n’était « pas une violation de Discord, mais une violation d’un fournisseur de services tiers, 5CA ». Discord a précisé que la violation n’a concerné que les utilisateurs ayant communiqué avec le support client ou les équipes de confiance et de sécurité de la société.

« Chez Discord, protéger la vie privée et la sécurité de nos utilisateurs est une priorité absolue. C’est pourquoi il est important pour nous d’être transparents avec eux concernant les événements impactant leurs informations personnelles », a ajouté la déclaration. Les utilisateurs affectés ont reçu un email si leurs identifiants gouvernementaux, adresses IP ou données de facturation et d’entreprise limitées ont été divulgués.

Et plus tôt ce mois-ci, Discord a fait face à une réaction quasi immédiate après avoir annoncé que tous les comptes seraient par défaut configurés avec des paramètres de sécurité pour adolescents. Les utilisateurs souhaitant accéder à des fonctionnalités supplémentaires devraient vérifier leur âge via Persona.

« Déployer par défaut des paramètres pour adolescents à l’échelle mondiale s’appuie sur l’architecture de sécurité existante de Discord », a déclaré Savannah Badalich, responsable de la politique produit chez Discord. La société « continuera de collaborer avec des experts en sécurité, des décideurs et les utilisateurs de Discord pour soutenir un bien-être significatif et durable. »

Mais après que les utilisateurs ont rapidement signalé la fuite de données d’octobre, Discord a modifié la déclaration le lendemain pour préciser que la vérification d’âge resterait optionnelle, sauf si les utilisateurs souhaitaient accéder à des serveurs et canaux à restriction d’âge.

Discord a indiqué qu’il pouvait déterminer l’âge de la majorité des utilisateurs en utilisant « les informations que nous avons déjà ». La plupart des utilisateurs n’auraient pas besoin de télécharger des identifiants gouvernementaux et pourraient opter pour des selfies vidéo.

« Nous proposons plusieurs options respectueuses de la vie privée via des partenaires de confiance », indique l’addenda, ajoutant que « les scans faciaux ne quittent jamais votre appareil. Discord et nos partenaires vendeurs ne les reçoivent jamais. »

Tout document d’identité téléchargé sur Discord serait soumis aux vendeurs tiers de la plateforme et rapidement supprimé. « Dans la plupart des cas, immédiatement après la confirmation de l’âge », indique la déclaration.

« Les identifiants sont utilisés uniquement pour vérifier votre âge, puis supprimés », poursuit-elle. « Discord ne reçoit que votre âge — c’est tout. Votre identité n’est jamais associée à votre compte. »

Cependant, une version depuis supprimée de la FAQ de Discord sur la politique de vérification d’âge semble contredire les affirmations de l’entreprise concernant la durée de stockage des identifiants gouvernementaux par le fournisseur tiers, en l’occurrence Persona.

« Important : si vous êtes situé au Royaume-Uni, vous pourriez faire partie d’une expérience où vos informations seront traitées par un fournisseur de vérification d’âge, Persona », indique une version archivée du site. « Les informations que vous soumettez seront stockées temporairement jusqu’à 7 jours, puis supprimées. Pour la vérification des documents d’identité, tous les détails sont floutés sauf votre photo et votre date de naissance, afin d’utiliser uniquement ce qui est réellement nécessaire pour la vérification d’âge. »

Persona collecte des données personnelles

Le PDG et cofondateur de Persona, Rick Song, a déclaré à Fortune que les fichiers n’étaient pas une vulnérabilité, mais plutôt des informations frontend accessibles publiquement. « Ce qui a été trouvé, ce sont des fichiers non compressés d’un frontend déjà présent sur chaque appareil », a-t-il expliqué, ajoutant que ces informations sont disponibles dans le centre d’aide de l’entreprise et la documentation API. « Je ne pense pas qu’avoir des fichiers non compressés en ligne soit une bonne chose », a poursuivi Song, mais il a précisé que les informations trouvées par le chercheur sont la version non compressée d’une carte source compressée de l’entreprise en ligne.

« Je pense que cela donne une impression plus effrayante qu’elle ne l’est en réalité, mais… en interne, nous n’avons pas considéré cela comme une vulnérabilité majeure. »

Song considère toujours le partenariat entre Persona et Discord comme un succès. « Je pense que la performance du produit a été extrêmement bonne », a déclaré le PDG à Fortune. « La raison pour laquelle nous pouvons dire que toutes les données ont été immédiatement redacted est parce qu’elles l’ont été ; elles ont été redacted dès leur traitement. Ce n’est pas parce que le contrat a été résilié que nous supprimons les données. Elles sont supprimées immédiatement après la vérification de l’individu. »

Song a nié tout lien avec Palantir, ICE ou le gouvernement, mais a indiqué que l’entreprise est en cours d’obtention de l’autorisation FedRAMP. « Nous essayons d’obtenir FedRAMP, et l’objectif est de renforcer la sécurité du personnel », qui utilise un ensemble d’informations complètement différent pour confirmer qu’un employé est bien celui qu’il prétend être, par rapport à un utilisateur sur une plateforme sociale vérifiant son âge.

En réponse aux 269 types de vérifications, ce sont toutes des options proposées par Persona, a expliqué Song, mais cela ne signifie pas nécessairement qu’un client aurait besoin de toutes. En gros, les besoins d’une plateforme sociale pour la vérification d’âge ne seraient pas les mêmes qu’un employeur effectuant une vérification de background.

Ce week-end, Song a nié que Persona — qui propose également des solutions KYC (Know Your Customer) et AML (Anti-Money Laundering) — relie biométrie faciale à des dossiers financiers ou des bases de données policières. Song a publié des captures d’écran d’un échange de courriels avec la chercheuse « Celeste » sur X, affirmant que l’implication de certains liens entre Persona, Palantir et ICE a conduit à des menaces contre des membres de l’entreprise.

« Nous n’avons aucune relation avec ICE, Palantir », indique la capture d’écran de l’échange de courriels. Le PDG a ajouté que certains membres de l’entreprise ayant subi des réactions négatives sont de jeunes diplômés ou des personnes récemment recrutées. « Je ne pense pas que ces personnes soient celles contre lesquelles la colère du public doit être dirigée, et si quelqu’un, c’est moi. »

Song a également été attaqué pour son manque d’informations personnelles en ligne. Un utilisateur sur X a publié une capture d’écran du profil LinkedIn du PDG, montrant Song avec un badge vérifié mais sans photo de profil. Persona gère les demandes de vérification d’identité sur LinkedIn.

En réponse, Song a écrit : « Je suis vérifié. C’est tout l’intérêt. C’est dystopique que nous voulions que les gens se face-ox à tout le monde pour être réel en ligne. Ironiquement, ceux qui parlent de confidentialité veulent que je face-ox à tout le monde. »

Rejoignez-nous au sommet de l’innovation en milieu de travail Fortune, les 19 et 20 mai 2026, à Atlanta. La nouvelle ère de l’innovation au travail est là — et l’ancien manuel est en train d’être réécrit. Lors de cet événement exclusif et dynamique, les leaders les plus innovants du monde se réuniront pour explorer comment l’IA, l’humanité et la stratégie convergent pour redéfinir, encore une fois, l’avenir du travail. Inscrivez-vous dès maintenant.