Des chercheurs en cybersécurité exposent des composants vulnérables de Persona dans la vérification d’âge de Discord

Des chercheurs en cybersécurité ont découvert en 2024 des composants frontaux de Persona, le fournisseur d’identité utilisé par Discord pour sa vérification d’âge, accessibles sur le web ouvert. Cette exposition, signalée initialement sur la plateforme X et rapidement relayée au sein de la communauté cyber, révèle la structure du flux de vérification sans accorder un accès direct aux données des utilisateurs. Elle met en lumière des faiblesses potentielles dans l’implémentation de cette fonctionnalité récente. Discord a déployé cette option de vérification d’âge dans le but d’identifier les mineurs, sous la pression de réglementations mondiales visant à protéger les jeunes en ligne, telles que la loi américaine Kids Online Safety Act ou le Digital Services Act européen. Persona, service d’identité numérique reposant sur la biométrie faciale pour confirmer l’âge des utilisateurs, est partenaire de Discord depuis le lancement de cette fonctionnalité en 2024. Contrairement à k-ID, qui privilégie des méthodes de vérification effectuées directement sur l’appareil de l’utilisateur, Persona est testé dans certaines zones géographiques spécifiques, ce qui suscite des interrogations sur les choix stratégiques de Discord en matière de fournisseurs. Les composants exposés pourraient permettre à des attaquants de simuler un trafic légitime et de sonder d’éventuelles failles dans le système de vérification. Bien que cette information ne compromette pas immédiatement les données personnelles des utilisateurs, elle fournit des renseignements exploitables sur la logique d’implémentation. Cet incident ravive les craintes relatives à la sécurité des dispositifs biométriques sensibles, où la conservation des données biométriques pose des risques accrus de stockage et érode la confiance des utilisateurs envers ces technologies. Discord devra prouver, à l’aide d’éléments concrets, que son processus de vérification résiste aux attaques potentielles. En l’absence d’explications officielles détaillées, les spéculations persistent sur les choix techniques entre fournisseurs comme Persona et k-ID. Dans un contexte d’intensification des pressions réglementaires, cet épisode souligne l’importance cruciale d’une implémentation sécurisée des solutions d’identité numérique pour les plateformes sociales, afin de concilier innovation et protection des mineurs.