Discord rompt ses liens avec Persona après la découverte de données sensibles sur des serveurs gouvernementaux
SAN FRANCISCO (AP) – Discord a mis fin à son partenariat avec Persona Identities, un fournisseur de services de vérification d’identité, après que des fichiers accessibles publiquement ont révélé des liens potentiels avec des efforts de surveillance gouvernementaux américains. L’incident soulève de nouvelles questions sur la protection de la vie privée des utilisateurs et la sécurité des données sur la plateforme de communication populaire, particulièrement après des incidents similaires l’année dernière.
La découverte, initialement signalée par des chercheurs sur X (anciennement Twitter), a mis en lumière l’étendue des vérifications effectuées par Persona, allant au-delà de la simple confirmation de l’âge. L’entreprise effectue 269 types de vérifications, incluant des recherches dans des bases de données liées au terrorisme, à l’espionnage et à l’identification de personnes politiquement exposées. Les fichiers exposés contenaient également des références à des programmes de renseignement actifs, selon les chercheurs.
“Nous n’avons même pas eu besoin d’exploiter une seule vulnérabilité, l’ensemble de l’architecture était simplement à la portée de tous,” ont-ils écrit dans un blog. Près de 2 500 fichiers étaient accessibles sur un point d’accès autorisé par le gouvernement américain.
Discord a confirmé à Fortune que le partenariat avec Persona, qui visait à renforcer la sécurité de la plateforme, n’a duré que quelques semaines et concernait un nombre limité d’utilisateurs. La société a précisé que les informations soumises par ces utilisateurs étaient conservées pendant un maximum de sept jours avant d’être supprimées.
Cet incident intervient après que Discord a été confronté à des critiques l’année dernière suite à une violation de données affectant plus de 70 000 utilisateurs qui avaient fourni des pièces d’identité pour la vérification de leur âge. En octobre 2025, Discord avait admis qu’il s’agissait d’une violation de données d’un prestataire tiers, 5CA, et non d’une faille de sécurité de Discord elle-même.
Récemment, Discord avait annoncé l’implémentation de paramètres de sécurité par défaut pour les adolescents, nécessitant une vérification d’âge pour accéder à certaines fonctionnalités. Cette annonce avait initialement suscité des réactions négatives, notamment en raison de la récente violation de données, avant d’être amendée pour rendre la vérification d’âge facultative, sauf pour l’accès à des serveurs et canaux restreints.
Rick Song, PDG et cofondateur de Persona, a minimisé l’importance de la fuite, la qualifiant de simple exposition de fichiers frontend non compressés. Il a affirmé que les données sensibles étaient déjà anonymisées et supprimées immédiatement après la vérification. Il a également nié tout lien avec Palantir, ICE ou le gouvernement américain, tout en précisant que Persona était en cours d’obtention de l’autorisation FedRAMP, un programme gouvernemental visant à garantir la sécurité des systèmes d’information.
Persona continue de fournir des services de vérification d’âge à d’autres entreprises, notamment OpenAI, Lime et Roblox.
L’affaire met en évidence les défis croissants auxquels sont confrontées les plateformes en ligne pour équilibrer la sécurité des utilisateurs, la protection de la vie privée et la conformité réglementaire. Elle soulève également des questions sur la diligence raisonnable exercée par Discord lors de la sélection de ses prestataires tiers et sur la transparence de ces derniers concernant leurs pratiques de collecte et de traitement des données.
