Les chercheurs qui enquêtent sur les contrôles de vérification de l'âge effectués par Discord affirment avoir découvert une interface exposée appartenant à Persona, le fournisseur de services de vérification d'identité utilisé par Discord. Celle-ci a révélé un système de surveillance et de renseignement financier bien plus étendu qu'un simple outil de « sécurité des adolescents ».
Il y a peu, nous avons annoncé que Discord limiterait les profils au mode « adapté aux adolescents » jusqu'à ce que vous vérifiiez votre âge. Cela signifie que toute personne souhaitant continuer à utiliser Discord comme auparavant devra laisser l'application scanner son visage, ce qui n'a pas plu du tout aux internautes.
Pour analyser ces scans, Discord fait appel à la start-up Persona Identities, Inc., spécialisée dans la vérification d'identité biométrique. Cette entreprise propose des solutions « Know Your Customer » (KYC) et « Anti-Money Laundering » (AML) qui s'appuient sur des contrôles d'identité biométriques pour estimer l'âge d'un utilisateur.
Pour démontrer les implications en matière de confidentialité, les chercheurs ont examiné la question de plus près et ont découvert une interface Persona accessible au public sur un serveur autorisé par le gouvernement américain, contenant 2 456 fichiers accessibles.
Vous avez bien lu. Selon la chercheuse « Celeste », le code exposé, qui a désormais été supprimé, se trouvait sur un terminal autorisé par le gouvernement américain qui semble avoir été isolé de son environnement de travail habituel.
Dans ces fichiers, les chercheurs ont trouvé des détails sur la surveillance étendue que le logiciel Persona exerce sur ses utilisateurs. Au-delà de la vérification de leur âge, le logiciel effectue 269 contrôles distincts, procède à une reconnaissance faciale par rapport à des listes de surveillance et à des personnes politiquement exposées, filtre les « médias défavorables » dans 14 catégories (dont le terrorisme et l'espionnage) et attribue des scores de risque et de similitude.
Persona collecte et peut conserver pendant trois ans les adresses IP, les empreintes digitales des navigateurs et des appareils, les numéros d'identification gouvernementaux, les numéros de téléphone, les noms, les visages, ainsi qu'une série d'analyses de « selfies » telles que la détection d'entités suspectes, la détection de poses répétées et les contrôles d'incohérence d'âge.
Vérifiez si vos données personnelles ont été exposées.
À une époque où la vérification de l'âge est un sujet brûlant, ce n'est pas le genre d'information qui convaincra les défenseurs de la vie privée que la vérification de l'âge est dans notre intérêt. L'envoi des données obtenues lors des contrôles de vérification de l'âge à des courtiers en données et à des gouvernements étrangers (Persona aurait été testé par Discord au Royaume-Uni) ne permettra pas d'instaurer le niveau de confiance nécessaire pour que les utilisateurs se sentent à l'aise de se soumettre à ce type de contrôle.
Cette question s'inscrit dans un débat plus large sur l'efficacité réelle de la vérification de l'âge. Euronews s'est penché sur les effets de l'interdiction des réseaux sociaux aux moins de 16 ans, une mesure pionnière en Australie. Les nouvelles règles australiennes ne sont en vigueur que depuis six semaines, mais alors que l'autorité de régulation de l'internet du pays affirme avoir fermé environ 4,7 millions de comptes détenus par des moins de 16 ans sur des plateformes telles que TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit et Threads, les enfants et les parents décrivent une réalité très différente. Des entretiens avec des adolescents, des parents et des chercheurs indiquent que de nombreux enfants continuent d'accéder aux applications interdites grâce à des solutions de contournement simples.
Selon The Rage, Discord a déclaré qu'il ne continuerait pas à utiliser Persona pour la vérification de l'âge. Cependant, d'autres plateformes auraient recours à Persona, notamment :
- Roblox: utilise l'estimation de l'âge du visage et la vérification d'identité de Persona comme base de son système de « vérification de l'âge pour discuter ».
- OpenAI / ChatGPT: Le centre d'aide d'OpenAI explique que si vous devez prouver que vous avez plus de 18 ans, « Persona est une société tierce de confiance à laquelle nous faisons appel pour vérifier l'âge », et que Persona peut vous demander un selfie en direct et/ou une pièce d'identité officielle.
- Lime : Le service de covoiturage déploie des flux de vérification d'âge personnalisés avec Persona afin de répondre aux exigences spécifiques de chaque région.
Nous ne nous contentons pas de signaler les menaces, nous contribuons à protéger vos réseaux sociaux.
Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Protégez vos comptes sur les réseaux sociaux en utilisantMalwarebytes Identity Theft .
