Des chercheurs en cybersécurité ont récemment découvert qu'une interface appartenant à Persona, l'entreprise sous-traitante utilisée par Discord, OpenAI ou encore Roblox pour vérifier l'âge des utilisateurs…
Je sais pas si quelqu'un de francophone s'est déjà occupé de relayer un peu le hack de Persona, mais je suis en train d'essayer de structurer quelques explications parce que c'est hyper grave.
était exposée publiquement sur un serveur lié au gouvernement US de façon franchement crade (et fasciste) digne de Jorjor Well. Ce qui était présenté par Discord comme un simple outil de "sécurité pour les adolescents" protégeant la vie privée s'est révélé (sans grande surprise hein) faire partie d'un système de surveillance et de renseignement financier, directement relié à des bases de données fédérales telles que… Celles de l'ICE, la police migratoire qui terrorise les minorités depuis plusieurs semaines aux US et notamment à Minneapolis. Bon, du coup, c'est quoi les conséquences pour les usagers ? Nos données ont alimenté une base de surveillance active. Les vérifications de routine déclenchent des croisements avec des listes de surveillance et peuvent générer des rapports d'activités suspectes (SAR) envoyés à des agences américaines (FinCEN qui est le centre des crimes financiers, ICE qui est la police migratoire ayant actuellement des activités parallèles aux slave patrols pré-abolition et à la Gestapo…). Certaines données sont même étiquetées sous des noms de code de renseignement comme "Project SHADOW". Parce qu'ils aiment la DISCRÉTION et surtout la SUBTILITÉ encore + qu'ils n'aiment le cool factor. Quelles données ont été partagées ? C'est là qu'on se marre : on pouvait se dire que c'était juste les photos des cartes d'identité, un truc déjà hyper grave. Ben non. Les adresses IP, les numéros de téléphones, les dates de naissance, les vidéos et scans faciaux, les empreintes numériques de l'appareil et du navigateur utilisés… Ces derniers éléments permettent d'ailleurs de nous traquer partout sur le web. Et contrairement aux affirmations de Discord qui promettait une suppression immédiate des pièces d'identité, le code qui a fuité montre que Persona peut conserver nos données jusqu'à 3 ans. Le simple selfie demandé par la vérification déclenche en arrière-plan des algorithmes d'analyse (nécessaires pour vérifier que la photo est conforme, qu'il n'y a pas une tentative de gruger en positionnant un objet devant le visage, etc) et des correspondances de reconnaissance faciale à grande échelle. Les visages ont été numérisés et stockés, reliés aux empreintes numériques, et tout ça peut être utilisé par des entités gouvernementales US pour traquer les gens sur internet. En gros, même si vous n'avez pas fourni un document officiel comme la CNI, c'est quand même la turbo-merde. L'interface de Persona a été laissée béante, ouverte plus grand encore que l'autoroute sans péage que Macron offre au RN depuis des années, sur le web, et le risque que des pirates moins bien intentionnés aient aussi eua ccès ces données est élevé. Ils pourraient avoir accès à un kit incroyable pour voler une identité : document officiel validé, photo biométrique, numéro de téléphone et identifiants matériels de l'ordinateur ou du smartphone. Imaginez ce qu'on peut faire avec ça, surtout en recroisant ça avec d'autres sets de données disponibles à l'achat. Et je veux pas vous inquiéter mais y'a déjà beaucoup de trucs faciles à obtenir. Si vous parlez un peu anglais voilà un bon résumé : youtube.com
Le système de Persona inclut des modules de suivi de portefeuilles de cryptomonnaies. Ces informations ultra-sensibles sont également susceptibles d'être partagées avec des courtiers en données (data brokers) ou des gouvernements étrangers. Bon, mon public est pas forcément super concerné par ça, mais c'est pour vous donner une idée de la merde que ça peut être pour d'autres gens un peu + fans de crypto. Et les techbros sont nombreux sur Discord. En résumé, les utilisateurs de Discord, OpenAI, Roblox… Et autres palteformes et services qui ont monté une vérification d'âge à l'aide des services de Persona, des utilisateurs qui pensaient simplement prouver leur majorité ont, sans le savoir, soumis leurs documents officiels, leur visage, et leur biométrie à un outil de profilage et de surveillance globale, une entreprise de tech qui n'a pas su sécuriser correctement son infrastructure. J'ai utilisé pas mal de sources pour écrire ce résumé rapide et j'ai pas tout gardé, mais ça se répète pas mal et voilà les deux dernières que j'ai consultées : malwarebytes.com
www.malwarebytes.com
Et la seconde : therage.co
www.therage.co
D'autres que moi ont déjà parlé des liens entre Persona et Peter Thiel (un oligarque christo-fasciste de merde, co-fonda de PayPal, JD Vance le vice-président US est un disciple à lui, vraiment c'est une sale ordure qui devrait voir sa licence de port de genoux se faire révoquer). Je m'aperçois que c'est pas mon écrit le + cohérent stylistiquement, mais j'avais envie de sortir ça vite. je prendrai peut-être le temps de mettre ça au propre pour mon blog ce weekend. bsky.app
Tant que j'ai votre attention par rapport à mon fil sur le leak de Persona : Je fais partie d'une association de protection animale, l'ARPA Chats, qui a besoin de soutien (comme toutes les assos de la sorte). helloasso.com
www.helloasso.com