Les lois sur la vérification de l'âge construisent un réseau mondial de surveillance

Les lois sur la vérification de l'âge construisent un réseau mondial de surveillance

Les lois sur la vérification de l'âge se multiplient aux États-Unis, au Royaume-Uni et au Brésil avec l'objectif déclaré de protéger les mineurs en ligne. Mais une enquête technique approfondie menée par le TBOTE Project soutient que l'infrastructure assemblée pour se conformer à ces lois fonctionne comme quelque chose de bien plus vaste : un système biométrique de surveillance transfrontalière avec des sous-traitants de données non divulgués, une authentification téléphonique silencieuse et des modules de signalement gouvernemental intégrés directement dans le code.

L'enquête, mise à jour en avril 2026, s'appuie sur des analyses DNS, la décompilation de SDK, des journaux de transparence des certificats, des registres d'entreprises et des dépôts auprès de la SEC EDGAR. Toutes les sources citées sont publiques.

Le nexus Thiel : un seul investisseur, les deux côtés du pipeline de données

L'une des conclusions structurelles centrales de l'enquête concerne Peter Thiel. Thiel a cofondé Palantir Technologies, une entreprise qui vend des outils d'analyse de surveillance à des gouvernements et à des entreprises du monde entier. Son véhicule de capital-risque, Founders Fund, est également le principal investisseur de Persona, une société de vérification d'identité dont le SDK est intégré dans des plateformes allant de Roblox à Robinhood.

Le TBOTE Project décrit cela comme un nexus « collecte et analyse » : le même actionnaire financier bénéficie à la fois de la capture des données d'identité biométrique et de l'analyse effectuée en aval sur ces données. L'enquête n'allègue pas de coordination entre Persona et Palantir au niveau des produits, mais elle documente la structure d'actionnariat commune comme un fait matériel qui n'est pas divulgué aux utilisateurs qui interagissent avec les flux de vérification de Persona.

Le code source divulgué de Persona, examiné dans le cadre de l'enquête, contiendrait 269 contrôles de vérification, 43 types de vérification et des modules de signalement gouvernemental conçus pour FinCEN et FINTRAC, les cellules de renseignement financier des États-Unis et du Canada respectivement.

Ce que l'analyse technique a révélé

La partie décompilation du SDK de l'enquête a produit plusieurs conclusions spécifiques qui vont au-delà des préoccupations habituelles en matière de vie privée.

Une clé de chiffrement AES codée en dur a été découverte dans le SDK de Persona. La clé a été renouvelée dans la version 1.15.3 après la divulgation de cette découverte, ce qui suggère que le problème a été confirmé et traité. Le SDK manquait également d'épinglage de certificat, une mesure de sécurité standard qui empêche l'interception de données en transit par des attaques de l'homme du milieu.

Sept services d'analyse simultanés ont été détectés en cours d'exécution lors d'une session de vérification standard. Telesign, une entreprise majoritairement détenue par Proximus, l'opérateur télécom belge appartenant à l'État, a été identifiée comme effectuant une authentification réseau silencieuse sans notification à l'utilisateur. La vérification téléphonique au niveau de l'opérateur a également été détectée via Vonage, sans que l'utilisateur en soit explicitement informé.

Le composant de reconnaissance faciale du système de Persona est alimenté par Paravision, une entreprise classée première lors d'une évaluation de la précision biométrique du Département de la Sécurité intérieure. Paravision ne figure pas sur la page des sous-traitants publiquement divulgués par Persona, selon l'enquête. Le TBOTE Project a identifié 12 sous-traitants de données qu'il qualifie de non divulgués.

L'énumération des sous-domaines de withpersona.com a révélé 197 sous-domaines, dont 65 environnements de préproduction exposant des services internes d'apprentissage automatique, une base de données graphe identifiée comme TigerGraph, et une passerelle vers l'AAMVA, l'Association américaine des administrateurs de véhicules à moteur, qui gère les données des permis de conduire dans les États américains.

L'enquête documente également LinkedIn comme exploitant simultanément quatre fournisseurs distincts de vérification d'identité, aux côtés de ce qu'elle décrit comme une pile de surveillance chinoise parallèle dans le même APK Android, incluant l'intégration du système de notation sociale Sesame Credit, l'authentification par opérateur ShanYan et des identifiants gouvernementaux d'appareils.

Roblox, une plateforme comptant une large population d'utilisateurs mineurs, intègre le SDK complet de Persona — y compris la fonctionnalité de lecture de passeport NFC — dans un flux de vérification que les utilisateurs ne pourraient pas quitter sans le compléter.

Ce que cela signifie pour vous

L'enquête du TBOTE Project ne soutient pas que la vérification de l'âge en elle-même est illégitime. Son argument est plus précis : l'infrastructure construite pour mettre en œuvre la vérification de l'âge possède des capacités techniques et des structures d'actionnariat qui vont bien au-delà de tout cas d'usage unique de contrôle d'accès par l'âge.

Pour les internautes ordinaires, cela signifie que se conformer à une invite de vérification de l'âge sur une plateforme de jeux, un réseau social ou un site de contenu adulte peut impliquer que des données biométriques soient traitées par plusieurs tiers non divulgués, qu'une authentification au niveau de l'opérateur se produise sans notification visible et que des données transitent vers des systèmes dotés de fonctions de signalement gouvernemental.

Les mandats législatifs dans plus de 25 États américains, au Brésil et au Royaume-Uni créent ce que l'enquête appelle un « marché obligatoire » pour ces services. Le rapport note que Meta a dépensé 26,3 millions de dollars en lobbying en lien avec cette législation. La base de données Serpro du Brésil, qui détient des dossiers sur environ 220 millions de citoyens brésiliens, est identifiée comme faisant partie de l'environnement d'infrastructure dans lequel ces systèmes de vérification opèrent.

La convergence de la vérification d'identité avec l'infrastructure des agents d'intelligence artificielle est signalée comme une préoccupation émergente. L'enquête suggère que la vérification d'identité est en train d'être positionnée comme un prérequis pour la participation aux transactions internet automatisées de manière plus générale, et pas seulement pour les contenus à accès restreint par l'âge.

Points d'action concrets

Les lecteurs souhaitant comprendre leur exposition à cette infrastructure peuvent prendre plusieurs mesures pratiques.

Premièrement, examinez les politiques de confidentialité et les divulgations relatives aux sous-traitants de toute plateforme qui vous a demandé de compléter une vérification d'identité. Notez si les fournisseurs de reconnaissance faciale et les services d'authentification par opérateur y sont mentionnés.

Deuxièmement, sachez que la « vérification de l'âge » sur une plateforme ne signifie pas que vos données restent sur cette plateforme. La vérification basée sur des SDK achemine les données via des systèmes d'identité tiers, chacun ayant ses propres pratiques de conservation et de partage des données.

Troisièmement, suivez les évolutions législatives dans votre juridiction. Les lois exigeant la vérification de l'âge créent des obligations légales pour les plateformes, ce qui stimule à son tour l'adoption de l'infrastructure décrite dans cette enquête. Comprendre ce que votre État ou votre pays impose est pertinent pour comprendre quelles données vous pourriez être tenu de soumettre pour utiliser certains services en ligne.

L'enquête complète du TBOTE Project, incluant sa méthodologie et ses documents sources, est disponible publiquement. Les conclusions représentent l'une des analyses publiques les plus techniquement détaillées du secteur de la vérification de l'âge à ce jour, et les questions qu'elle soulève concernant la divulgation, les flux de données et les conflits d'intérêts structurels sont celles que les régulateurs, les journalistes et les chercheurs en protection de la vie privée continueront probablement d'examiner.