Cela fait un peu plus d’une semaine que Discord a annoncé qu’il étendrait son mandat de vérification de l’âge à l’échelle mondiale, et malgré les promesses que la plupart des utilisateurs n’auraient pas besoin de vérifier, la société est toujours dans l’eau chaude avec les joueurs.
Plus récemment, il a été découvert que Discord avait travaillé avec la société Persona, soutenue par Peter Thiel, elle-même impliquée dans de multiples scandales. Celles-ci incluent des allégations selon lesquelles elle conservait les données d’identification personnelles des utilisateurs de Discord plus longtemps que prévu initialement, et une révélation selon laquelle la société a accidentellement laissé certaines de ses données disponibles pour consultation sur Internet ouvert. Discord dit maintenant qu’il renonce à son partenariat avec Persona, mais cela vaut-il la peine de rester après tout cela ?
Que s’est-il passé avec la règle de vérification de l’âge de Discord ?
Lorsque Discord a annoncé qu’il exigerait bientôt une vérification de l’âge à l’échelle mondiale, il suivait en fait des programmes de vérification de l’âge qui avaient déjà commencé dans des régions comme l’Australie et le Royaume-Uni. Le seul partenaire connu de Discord pour la vérification de l’âge aux États-Unis est k-ID, qui utilise la numérisation faciale sur l’appareil, mais les utilisateurs ont découvert qu’au Royaume-Uni, la société s’était également associée à Persona. Le partenariat de Discord avec Persona visait une « expérience » qui aurait pu voir les utilisateurs soumettre des informations qui auraient été « temporairement stockées pendant sept jours maximum, puis supprimées ».
Selon un rapport de PCGamer, l’information a été révélée à la suite d’informations selon lesquelles certains utilisateurs de Discord basés au Royaume-Uni avaient reçu des demandes de soumission d’informations à Persona, ce qui a suscité des inquiétudes quant à la disparition de leurs données faciales sur leurs appareils malgré la promesse de l’annonce initiale selon laquelle seules les données d’identification gouvernementales iraient dans le cloud, ainsi que la durée pendant laquelle les données téléchargées resteraient dans le cloud. Dans une page d’assistance désormais supprimée, Discord a précisé que le partenariat était bien réel et faisait partie d’une expérience, et a ajouté une note sur la fenêtre potentielle de suppression de sept jours, ce qui contredisait les déclarations selon lesquelles les données téléchargées seraient supprimées directement après la vérification de l’âge.
Dans un article sur X, le PDG de Persona, Rick Song, a tenté de défendre le flux de travail, affirmant que « la numérisation faciale sur l’appareil » est « malheureusement trop facile à contourner aujourd’hui », avant d’ajouter plus tard que les informations téléchargées sont toujours « traitées puis supprimées ». Cependant, Song n’a pas fourni de calendrier de suppression. Et les données qui pourraient quitter l’appareil de l’utilisateur malgré les promesses initiales selon lesquelles ce ne serait pas le cas ne constituaient qu’une partie du problème.
Au cours du week-end, un trio d’hacktivistes a également découvert une vulnérabilité dans le front-end de données de Persona, qui, selon une analyse de la publication indépendante The Rage et de l’organisation anti-malware Malwarebytes, a laissé 2 456 fichiers accessibles sur Internet ouvert. Les pirates informatiques et le PDG de Persona, qui ont communiqué de « bonne foi », affirment que Persona lui-même n’a pas été piraté et que les données ont été accidentellement divulguées et visibles par toute personne ayant le savoir-faire pour les trouver (elles ont depuis été supprimées).
Le rapport complet des résultats a été publié par l’un des pirates, Celeste, et précise que la fuite a apparemment été détectée via un point final autorisé par le gouvernement américain qui avait été isolé d’une manière ou d’une autre de son environnement de travail habituel. Bien que les pirates n’aient pas trouvé d’informations d’identification personnelle dans les fichiers divulgués, ils ont constaté que Persona effectuait souvent bien plus qu’une simple vérification de l’âge des données envoyées à ses serveurs. Selon le code divulgué, la société utilise la reconnaissance faciale pour effectuer 269 contrôles de vérification distincts sur des listes de surveillance dans 14 catégories (y compris le terrorisme et l’espionnage) et marque ses rapports avec des noms de code liés à des partenariats public-privé connus pour suivre tout ce qui va de la distribution de cannabis au blanchiment d’argent. Les informations, notamment les adresses IP collectées, les empreintes digitales du navigateur et de l’appareil, les numéros de téléphone, les noms, les visages, etc., peuvent être conservées jusqu’à trois ans, selon les conclusions des pirates.
Certes, il est possible que Persona n’ait pas mis en œuvre toutes ces vérifications sur les utilisateurs soumettant des informations de vérification de l’âge via Discord, ou ne conservant pas les données plus longtemps que les sept jours mentionnés sur la page d’assistance désormais supprimée. Mais cela n’a pas été une bonne idée ni pour Persona ni pour Discord.
Discord met fin à sa relation avec Persona
Suite à l’indignation des utilisateurs concernant les données personnelles quittant leurs appareils ou restant sur le cloud pendant une période de temps indéterminée, ainsi qu’à l’annonce selon laquelle la société responsable de ces données avait apparemment autorisé un grand nombre de ses fichiers à fuir sur l’Internet ouvert, Discord a commencé à contrôler les dégâts.
La société a déclaré à Ars Technica que seul « un petit nombre d’utilisateurs a été inclus dans l’expérience » impliquant Persona et qu’elle « a duré moins d’un mois ». Plus important encore, maintenant que l’expérience est censée être terminée, Discord a déclaré à Ars et à The Verge qu’il ne s’associait plus avec Persona et qu’il « tiendrait nos utilisateurs informés à mesure que les fournisseurs seraient ajoutés ou mis à jour ».
Du côté de Persona, la société a précisé à Ars qu’elle n’avait aucun contrat gouvernemental. Le PDG Rick Song a également déclaré lors d’une communication avec les pirates informatiques que les informations divulguées étaient basées sur des enregistrements accessibles au public, avant de répéter que Persona ne stocke pas les données que les utilisateurs lui envoient. Song a également déclaré que Persona n’utilise pas l’IA et, bien qu’il soit financé en partie par Peter Thiel, n’a pas de relation avec Palantir.
Est-il sécuritaire de s’en tenir à Discord ?
Bien qu’il soit difficile de savoir dans quelle mesure Persona stockait ou analysait les données des utilisateurs, le fait que cela ait été une surprise pour tant d’utilisateurs a suffi à constater une augmentation massive du nombre d’utilisateurs essayant des alternatives comme Teamspeak, qui lui-même en a profité pour critiquer la sécurité de Discord.
Personnellement, je ne désinstallerai probablement pas Discord tout de suite (ne serait-ce que parce que j’en ai besoin pour écrire des histoires comme celle-ci), mais j’y réfléchirais à deux fois avant de télécharger des informations si on me demandait de vérifier mon âge. Notez cependant que Discord peut utiliser des mesures telles que votre e-mail d’inscription pour deviner votre âge même si vous ne lui envoyez pas d’informations d’identification personnelle. C’est en fait ainsi qu’il prévoit d’éviter de harceler la plupart de ses utilisateurs avec des invites de vérification de l’âge.
Mais même si vous vous désengagez de Discord, il convient de noter que, selon les services que vous utilisez dans votre vie, vous devrez peut-être toujours interagir avec Persona. Bien que Discord ne fonctionne plus avec la société de vérification de l’âge, Persona entretient toujours des relations actives avec des sites de médias sociaux, notamment Reddit et LinkedIn, des jeux comme Roblox, et même le service de paiement Square et la plateforme de gestion des accès Okta.
Le plus notable pourrait être la relation de Persona avec OpenAI : cela semble être la raison pour laquelle le code de Persona aurait pu fuir en premier lieu. Les hacktivistes qui ont découvert la fuite y ont trouvé des signifiants OpenAI, ce qui, selon The Rage, signifie qu’OpenAI aurait pu créer une base de données interne pour accéder aux contrôles d’identité des personnes. Cela pourrait expliquer comment les données de Persona se sont retrouvées sur un ordinateur du gouvernement américain alors que l’entreprise n’était censée avoir aucun contrat avec le gouvernement.
Quoi qu’il en soit, à mesure qu’Internet devient de plus en plus connecté et que la vérification de l’âge devient plus courante, appuyer sur un bouton, comme se désengager d’une seule application, ne suffit probablement plus à effacer complètement votre présence en ligne. Cela vaut la peine de contrôler ce que vous pouvez (Discord vous permet de supprimer des informations telles que les messages envoyés ou les canaux du serveur), mais il est légalement obligé de conserver les informations d’achat et choisit également de conserver des informations supplémentaires telles que les sauvegardes de base de données, même après la suppression du compte. Vous pouvez voir une liste complète des informations Discord conservées sur le site Web de l’entreprise.
En attendant, consultez ces 10 conseils de mon collègue Pranay Parab pour rester en sécurité en ligne.
