Fureur après les vérifications d’âge de Discord suite à un test louche de Persona au Royaume-Uni
Peu après que Discord a annoncé que tous les utilisateurs seraient bientôt basculés par défaut vers des expériences pour adolescents jusqu’à ce que leur âge soit vérifié, la plateforme de messagerie a fait face à une réaction immédiate.
L’une des principales plaintes était que Discord prévoyait de collecter davantage de pièces d’identité gouvernementales dans le cadre de son processus mondial de vérification d’âge. Beaucoup ont été choqués que Discord soit aussi audacieux si peu de temps après qu’une violation par un tiers des services d’un ancien partenaire de vérification d’âge ait récemment exposé les pièces d’identité gouvernementales de 70 000 utilisateurs de Discord.
Tentant de rassurer les utilisateurs, Discord a affirmé que la plupart des utilisateurs n’auraient pas à montrer de pièce d’identité, s’appuyant plutôt sur des selfies vidéo utilisant l’IA pour estimer les âges, ce qui a soulevé des préoccupations distinctes en matière de confidentialité. À l’avenir, peut-être que des signaux comportementaux annuleraient le besoin de vérifications d’âge pour la plupart des utilisateurs, a suggéré Discord, semblant minimiser le risque que des données sensibles soient stockées de manière inappropriée.
Discord n’a pas caché qu’il prévoyait de continuer à demander des pièces d’identité pour tout utilisateur contestant une évaluation d’âge incorrecte, et les utilisateurs n’étaient pas contents, car c’est exactement ainsi que la violation précédente s’est produite. Répondant aux critiques, Discord a affirmé que la majorité des données d’identité était rapidement supprimée. Plus précisément, Savannah Badalich, responsable mondiale de la politique produit de Discord, a déclaré à The Verge que les pièces d’identité partagées lors des contestations « sont supprimées rapidement – dans la plupart des cas, immédiatement après la confirmation de l’âge. »
Il n’est donc pas surprenant que la réaction ait explosé après que Discord ait publié, puis étrangement supprimé, une clause de non-responsabilité dans une FAQ sur les politiques d’assurance d’âge de Discord qui contredisait le calendrier court vanté par Discord pour le stockage des pièces d’identité. Une version archivée de la page montre que la note partageait cet avertissement :
« Important : Si vous êtes situé au Royaume-Uni, vous faites peut-être partie d’une expérience où vos informations seront traitées par un fournisseur d’assurance d’âge, Persona. Les informations que vous soumettez seront temporairement stockées pendant 7 jours maximum, puis supprimées. Pour la vérification des documents d’identité, tous les détails sont floutés sauf votre photo et date de naissance, de sorte que seul ce qui est vraiment nécessaire pour la vérification d’âge est utilisé. »
Les critiques ont estimé que Discord obscurcissait non seulement la durée de stockage des pièces d’identité, mais aussi les entités collectant les informations. Discord n’a pas fourni de détails sur ce que l’expérience testait ou combien d’utilisateurs étaient concernés, et Persona n’était pas répertorié comme partenaire sur sa plateforme.
Contacté pour commentaire, Discord a déclaré à Ars que seul un petit nombre d’utilisateurs était inclus dans l’expérience, qui a duré moins d’un mois. Ce test s’est depuis conclu, a confirmé Discord, et Persona n’est plus un fournisseur actif en partenariat avec Discord. À l’avenir, Discord a promis de « tenir nos utilisateurs informés lorsque des fournisseurs sont ajoutés ou mis à jour. »
Alors que Discord cherche à se distancer de Persona, Rick Song, PDG de Persona, a été coincé à répondre à la réaction croissante. Espérant apaiser les craintes que l’une des données britanniques collectées lors de l’expérience risque d’être violée, il a déclaré à Ars que toutes les données des personnes vérifiées impliquées dans le test de Discord ont été supprimées immédiatement après vérification.
Persona attire les critiques au milieu de la fureur Discord
Tout cela a apparemment commencé après que Discord a été contraint de trouver des solutions de vérification d’âge lorsque l’interdiction australienne des réseaux sociaux pour les moins de 16 ans et la loi britannique sur la sécurité en ligne sont entrées en vigueur.
Il semble qu’au Royaume-Uni, Discord ait eu du mal à trouver des partenaires, car le service de messagerie n’essayait pas seulement d’empêcher les mineurs d’accéder au contenu pour adultes, mais devait également empêcher les adultes d’envoyer des messages aux mineurs.
Mettant de côté les problèmes connus avec la précision de la technologie d’estimation d’âge d’aujourd’hui, il y a une nuance souvent négligée dans le fonctionnement des solutions d’âge, en particulier lorsque la sécurité des enfants est impliquée dans les décisions des plateformes. Les vérifications d’âge qui sont suffisamment bonnes pour empêcher les enfants d’accéder au contenu pour adultes peuvent ne pas fonctionner aussi bien que les vérifications d’âge pour arrêter les adultes avertis en technologie avec des intentions malveillantes déterminés à contacter des mineurs ; la loi britannique sur la sécurité en ligne exigeait que les vérifications d’âge de Discord bloquent les deux.
Il semble probable que Discord s’attendait à ce que Persona soit un partenaire que les responsables de l’application de la loi britannique sur la sécurité en ligne approuveraient. La loi avait précédemment approuvé Persona comme service de vérification d’âge sur Reddit, qui partage des objectifs de vérification d’âge similaires et complexes avec Discord.
Pour Persona, le partenariat est venu à un moment où de nombreux utilisateurs de Discord dans le monde surveillaient de près le service, essayant de décider s’ils faisaient confiance à Discord avec leurs données de vérification d’âge.
Après que Discord ait choqué les utilisateurs en retirant brusquement la clause de non-responsabilité concernant l’expérience Persona, la méfiance a gonflé et l’examen de Persona s’est intensifié.
Sur X et d’autres plateformes de médias sociaux, les critiques ont averti que le Founders Fund de Peter Thiel, cofondateur de Palantir, était un investisseur majeur dans Persona. Ils craignaient que Thiel puisse avoir une influence sur Persona ou accès aux données de Persona, ou, pire, que les liens de Thiel avec l’administration Trump puissent signifier que le gouvernement y avait accès. Craignant que les données Discord puissent un jour être alimentées dans des systèmes de reconnaissance faciale gouvernementaux, les conspirations ont tourbillonné, augmentant la pression sur Persona et ne laissant à Song d’autre choix que de confronter prudemment les allégations.
Des pirates sondent Persona
Peut-être le plus problématique pour Persona, l’indignation massive a incité les chercheurs en cybersécurité à enquêter. Ils ont rapidement exposé un « moyen de contournement » pour éviter les vérifications d’âge de Persona sur Discord, a rapporté The Rage, une publication indépendante qui couvre la surveillance financière. Mais plus préoccupant pour les défenseurs de la vie privée, les chercheurs ont également trouvé le code frontend non compressé de Persona « exposé sur Internet ouvert sur un serveur autorisé par le gouvernement américain. »
« Dans 2 456 fichiers accessibles publiquement, le code a révélé la surveillance étendue que le logiciel Persona effectue sur ses utilisateurs, regroupée dans une interface qui associe la reconnaissance faciale aux rapports financiers – et une mise en œuvre parallèle qui semble conçue pour servir les agences fédérales », a rapporté The Rage.
Comme The Rage l’a rapporté, et Song l’a confirmé à Ars, Persona n’a actuellement aucun contrat gouvernemental. Au lieu de cela, le service exposé « semble être alimenté par un chatbot OpenAI », a noté The Rage. Dans une correspondance avec l’un des chercheurs, Song a précisé que ce produit est basé sur des dossiers publiquement disponibles pour les sanctions et les avertissements, et le service ne stocke aucune donnée utilisateur qui lui est envoyée. Song a déclaré à Ars que le produit n’exploite pas l’IA.
OpenAI est mis en évidence comme un partenaire actif sur le site web de Persona, qui affirme que Persona examine des millions d’utilisateurs pour OpenAI chaque mois. Selon The Rage, « le domaine exposé publiquement, intitulé ‘openai-watchlistdb.withpersona.com' », semble « interroger les demandes de vérification d’identité sur une base de données OpenAI » qui a une « mise en œuvre parallèle autorisée FedRAMP du logiciel appelée ‘withpersona-gov.com’. »
Les pirates ont averti « qu’OpenAI pourrait avoir créé une base de données interne pour les vérifications d’identité Persona qui couvre tous les utilisateurs OpenAI via son watchlistdb interne », exploitant apparemment l' »opportunité de passer de la comparaison des utilisateurs avec une seule liste de surveillance fédérale, à la création de la liste de surveillance de tous les utilisateurs eux-mêmes. »
OpenAI n’a pas immédiatement répondu à la demande de commentaire d’Ars.
Persona nie les liens gouvernementaux et avec l’ICE
Mercredi, la directrice des opérations de Persona, Christie Kim, a cherché à rassurer les clients de Persona alors que la controverse Discord grandissait. Dans un courriel, Kim a déclaré que Persona investit « massivement dans les infrastructures, la conformité et la formation interne pour garantir que les données sensibles sont traitées de manière responsable » et non exposées.
« Au cours de la semaine dernière, plusieurs publications sur les réseaux sociaux et articles en ligne ont circulé répétant des affirmations trompeuses sur Persona, insinuant des conspirations autour de notre travail avec Discord et nos investisseurs », a écrit Kim.
Notant que Persona ne « s’engage généralement pas avec la spéculation en ligne », Kim a déclaré que le scandale nécessitait une réponse directe « parce que nous opérons dans un espace sensible et votre confiance en nous est fondamentale pour notre partenariat. »
Comme prévu, Kim a noté que Persona n’est pas en partenariat avec des agences fédérales, y compris le département de la Sécurité intérieure ou l’Immigration and Customs Enforcement (ICE).
« En toute transparence, nous travaillons activement sur quelques contrats potentiels qui seraient publiquement visibles si nous allons de l’avant », a écrit Kim. « Cependant, ces engagements sont strictement pour la sécurité des comptes de la main-d’œuvre des employés gouvernementaux et n’incluent pas l’ICE ou toute agence au sein du département de la Sécurité intérieure. »
Kim a reconnu que le Founders Fund de Thiel est un investisseur mais a déclaré que les investisseurs n’ont pas accès aux données de Persona et que Thiel n’est pas impliqué dans les opérations de Persona.
« Il n’est pas dans notre conseil d’administration, ne nous conseille pas, n’a aucun rôle dans nos opérations ou notre prise de décision, et n’est pas directement impliqué avec Persona de quelque manière que ce soit », a écrit Kim. « Persona et Palantir ne partagent aucun membre du conseil d’administration et n’ont aucune relation commerciale l’un avec l’autre. »
Dans le courriel, Kim a confirmé que Persona prévoyait une campagne de presse pour se défendre, parlant avec les médias pour clarifier le récit. Elle s’est excusée pour tout désagrément que l’examen accru des services de l’entreprise pourrait avoir causé.
Cet examen a probablement effrayé les partenaires qui auraient pu auparavant graviter vers Persona comme un partenaire qui semble avisé concernant les approbations gouvernementales.
Persona combat les problèmes de confiance en cours
Pour Persona, le cauchemar de relations publiques arrive à un moment où les lois de vérification d’âge gagnent en popularité et commencent à prendre force dans diverses parties du monde. L’expérience de Persona dans la vérification des identités pour les services financiers afin de prévenir la fraude semble rendre ses services – que The Rage a noté combinent reconnaissance faciale et rapports financiers – une option attrayante pour les plateformes cherchant une solution qui apaisera les régulateurs. Song a nié que Persona lie les données biométriques faciales aux dossiers financiers ou aux bases de données des forces de l’ordre dans des réponses à des fils LinkedIn.
Mais en raison du passé de Persona dans les services financiers et la protection contre la fraude, ses politiques de conservation des données – qui exigent que certaines données soient conservées à des fins légales et d’audit – laisseront probablement mal à l’aise quiconque face à une entreprise technologique rassemblant une base de données massive de pièces d’identité gouvernementales. De telles bases de données sont considérées comme des cibles extrêmement attrayantes pour les acteurs malveillants derrière des violations coûteuses, et les utilisateurs de Discord ont déjà été brûlés une fois.
Sur X, Song a répondu à l’un des pirates – un utilisateur nommé Celeste avec le pseudo vmfunc – visant à fournir plus de transparence sur la façon dont Persona abordait les problèmes signalés. Dans le fil, il a partagé des captures d’écran de courriels documentant sa correspondance avec Celeste sur les préoccupations de sécurité.
La correspondance a montré que Celeste a crédité Persona d’avoir rapidement corrigé le problème frontend mais a également noté qu’il était difficile de faire confiance à l’histoire de Persona sur les liens gouvernementaux et avec Palantir, puisque l’entreprise ne mettrait pas plus d’informations au dossier. De plus, l’équipe de conformité de Persona devrait être préoccupée par le fait que l’entreprise n’avait pas encore commencé un « examen de sécurité approfondi », a déclaré Celeste.
« Malheureusement, il n’y a aucun moyen que je puisse vous faire entièrement confiance ici et vous le savez », a écrit Celeste, « mais j’essaie d’agir de bonne foi » en déclarant explicitement que « nous n’avons trouvé aucune référence » à l’ICE ou à d’autres entités préoccupant les critiques « dans tous les fichiers sources que nous avons trouvés. »
Mais Song et Celeste ont finalement résolu certains des malentendus. Vendredi, Celeste a posté sur X que « je vois beaucoup de désinformation circuler en
