Actualités, Privacy

[Mise à jour] Selon des chercheurs, le fournisseur de solutions de vérification de l'âge Persona a laissé son interface utilisateur exposée

par Pieter Arntz | 20, 2026 février
Contrôles de vérification de l'âge

Mise à jour du 13 mars 2026

Persona nous a contactés pour préciser que :

  • L'environnement de test exposé a été isolé des systèmes de production.
  • Aucune donnée à caractère personnel n'a été divulguée.
  • Aucun client de Persona n'utilise l'ensemble des 269 chèques disponibles.
  • Persona ne travaille avec aucune agence fédérale.
  • Persona se contente de traiter les données, et ce sont ses clients qui décident de la manière dont Persona les traite et les supprime.

Vous pouvez consulter l'explication de Persona concernant ce problème ainsi que leur réponse dans ce compte rendu post-incident

Que s'est-il passé ?

Les chercheurs qui enquêtent sur les contrôles de vérification de l'âge effectués par Discord affirment avoir découvert une interface exposée appartenant à Persona, le fournisseur de services de vérification d'identité utilisé par Discord. Celle-ci a révélé un système de surveillance et de renseignement financier bien plus étendu qu'un simple outil de « sécurité des adolescents ».

Il y a peu, nous avons annoncé que Discord limiterait les profils au mode « adapté aux adolescents » jusqu'à ce que vous vérifiiez votre âge. Cela signifie que toute personne souhaitant continuer à utiliser Discord comme auparavant devra laisser l'application scanner son visage, ce qui n'a pas plu du tout aux internautes.

Pour analyser ces scans, Discord fait appel à la start-up Persona Identities, Inc., spécialisée dans la vérification d'identité biométrique. Cette entreprise propose des solutions « Know Your Customer » (KYC) et « Anti-Money Laundering » (AML) qui s'appuient sur des contrôles d'identité biométriques pour estimer l'âge d'un utilisateur.

Pour démontrer les implications en matière de confidentialité, les chercheurs ont examiné la question de plus près et ont découvert une interface Persona accessible au public sur un serveur autorisé par le gouvernement américain, contenant 2 456 fichiers accessibles.

Vous avez bien lu. Selon la chercheuse « Celeste », le code divulgué, qui a depuis été supprimé, se trouvait sur un terminal agréé par le gouvernement américain qui semble avoir été isolé de son environnement de travail habituel. Cependant, Persona a précisé par la suite dans un article de blog que « ce domaine n’a jamais compté de clients fédéraux et ne contient aucune donnée client ».

Dans ces fichiers, les chercheurs ont découvert des informations détaillées sur les capacités de surveillance étendues du logiciel Persona. Outre la vérification de l'âge, le logiciel est capable d'effectuer 269 contrôles distincts, de procéder à une reconnaissance faciale par rapport à des listes de surveillance et à des personnes politiquement exposées, de passer au crible les « informations médiatiques défavorables » dans 14 catégories (dont le terrorisme et l'espionnage), et d'attribuer des scores de risque et de similitude.

Persona recueille — et peut conserver pendant trois ans au maximum — les adresses IP, les empreintes de navigateur et d’appareil, les numéros d’identité officiels, les numéros de téléphone, les noms, les visages, ainsi qu’une série d’analyses de « selfies » telles que la détection d’entités suspectes, la détection de poses répétitives et les vérifications de cohérence d’âge. Après que « Celeste » eut publié ses conclusions en ligne, le PDG de Persona, Rick Song, a déclaré sur la plateforme de réseaux sociaux X: « Nous vérifions votre identité en toute sécurité, la conservons uniquement aussi longtemps que nécessaire pour le compte du client, puis la supprimons dès que possible. »

À une époque où la vérification de l'âge est un sujet brûlant, ce n'est pas le genre d'information qui convaincra les défenseurs de la vie privée que la vérification de l'âge est dans notre intérêt. L'envoi des données obtenues lors des contrôles de vérification de l'âge à des courtiers en données et à des gouvernements étrangers (Persona aurait été testé par Discord au Royaume-Uni) ne permettra pas d'instaurer le niveau de confiance nécessaire pour que les utilisateurs se sentent à l'aise de se soumettre à ce type de contrôle.

Cette question s'inscrit dans un débat plus large sur l'efficacité réelle de la vérification de l'âge. Euronews s'est penché sur les effets de l'interdiction des réseaux sociaux aux moins de 16 ans, une mesure pionnière en Australie. Les nouvelles règles australiennes ne sont en vigueur que depuis six semaines, mais alors que l'autorité de régulation de l'internet du pays affirme avoir fermé environ 4,7 millions de comptes détenus par des moins de 16 ans sur des plateformes telles que TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit et Threads, les enfants et les parents décrivent une réalité très différente. Des entretiens avec des adolescents, des parents et des chercheurs indiquent que de nombreux enfants continuent d'accéder aux applications interdites grâce à des solutions de contournement simples.

Selon The Rage, Discord a déclaré qu'il ne continuerait pas à utiliser Persona pour la vérification de l'âge. Cependant, d'autres plateformes auraient recours à Persona, notamment :

  • Roblox: utilise l'estimation de l'âge du visage et la vérification d'identité de Persona comme base de son système de « vérification de l'âge pour discuter ».
  • OpenAI / ChatGPT: Le centre d'aide d'OpenAI explique que si vous devez prouver que vous avez plus de 18 ans, « Persona est une société tierce de confiance à laquelle nous faisons appel pour vérifier l'âge », et que Persona peut vous demander un selfie en direct et/ou une pièce d'identité officielle.
  • Lime : Le service de covoiturage déploie des flux de vérification d'âge personnalisés avec Persona afin de répondre aux exigences spécifiques de chaque région.

Les escrocs n'ont pas besoin de pirater votre ordinateur. Il leur suffit que vous cliquiez une seule fois. 

Theft Identity Malwarebytes détecte les activités suspectes avant qu'elles ne posent problème.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Actualités
Tess enquête sur une arnaque aux frais payables d'avance

Cette arnaque à l'ancienne fonctionne toujours

Avril 17, 2026

Nous avons envoyé Tess enquêter sur une arnaque nigériane classique de type « arnaque à la commission », qui présente toutefois une nouvelle variante. Malheureusement, ces vieilles arnaques sont toujours d'actualité, car elles fonctionnent.

Produit
Contrôle d'accès dans Browser Guard

Browser Guard encore grâce à la fonctionnalité de contrôle d'accès 

Avril 16, 2026

Prenez le contrôle des fenêtres contextuelles de demande d'autorisation et décidez précisément quels sites web peuvent accéder à votre caméra, à votre microphone et à votre position, et vous envoyer des notifications.

Actualités
iPhone affichant le logo Apple

L'arnaque « Votre espace de stockage iCloud est plein » est de retour, et cette fois, elle vise vos coordonnées bancaires

Avril 16, 2026

Utilisateurs Apple : méfiez-vous des arnaques du type « mettez à jour maintenant ou perdez vos photos », qui vous poussent à communiquer vos informations de paiement à la hâte.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries