Source : Malwarebytes — Dans un contexte de débat intense sur la vérification d’âge en ligne, des chercheurs ont découvert un frontend de Persona (prestataire KYC/AML de Discord) publiquement exposé sur un serveur « autorisé par le gouvernement américain », avec 2 456 fichiers accessibles. Selon la chercheuse « Celeste », le code — désormais retiré — se trouvait sur un endpoint isolé de l’environnement habituel de l’éditeur. 🔎

Les fichiers exposés détaillent une pile de surveillance bien plus large qu’un simple outil de « sécurité pour ados » : 269 contrôles de vérification, reconnaissance faciale contre des listes de surveillance et personnes politiquement exposées (PEP), screening d’« adverse media » sur 14 catégories (dont terrorisme et espionnage), ainsi que des scores de risque et de similarité. ⚠️

Côté données, Persona collecte (et peut conserver jusqu’à 3 ans) :

  • Adresses IP, empreintes navigateur/appareil
  • Numéros d’identification gouvernementaux, numéros de téléphone, noms, visages
  • Analytics de « selfie » : détection d’entités suspectes, détection de pose répétée, contrôles d’incohérence d’âge

Cette exposition alimente les inquiétudes sur l’envoi de données de vérification d’âge à des courtiers en données et à des gouvernements étrangers (Persona aurait été testé par Discord au Royaume‑Uni). Selon The Rage, Discord ne continuera pas à utiliser Persona pour la vérification d’âge. D’autres plateformes utilisant Persona sont citées :

  • Roblox : estimation d’âge faciale et vérification d’ID pour « age checks to chat »
  • OpenAI / ChatGPT : vérification 18+ via Persona (selfie et/ou ID gouvernemental possibles)
  • Lime : parcours de vérification d’âge personnalisés selon les régions

En toile de fond, la question de l’efficacité des dispositifs d’âge : en Australie, malgré 4,7 millions de comptes <16 ans fermés selon le régulateur en six semaines, des témoignages d’ados, parents et chercheurs décrivent des contournements simples. Il s’agit d’un article de presse spécialisé relayant des découvertes de recherche et le débat sur la vérification d’âge et la confidentialité des données.

🔗 Source originale : https://www.malwarebytes.com/blog/news/2026/02/age-verification-vendor-persona-left-frontend-exposed